jiggylee
Goto Top

AD DC Failover zeitintensiv und DHCP repliziert nicht

Hallöchen Admins!

Meine Firma hat seit längerem einen Support Vertrag bei einer Firma für unsere Server. Leider ist die Leistung sehr bescheiden und ältere Probleme werden einfach nicht behoben.
Deswegen hoffe ich auf ein bisschen Unterstützung und Analyse von euch. face-smile

Wir haben 2 DCs im Einsatz. Standard Setup mit 1 Master und 1 Slave.

Beide Server laufen soweit stabil, haben aber 2 gravierende Fehler.

1. Wenn DC1 ausfällt braucht DC2 ganze 10-15 Minuten bis dieser wieder übernimmt. DC2 hat angeblich Schwierigkeiten die Route von DC1 zu übernehmen.
2. DHCP repliziert nicht von DC1 zu DC2

Alle IPs müssen auf beiden Servern händisch eingetragen werden. Failover ist konfiguriert und zeigt auf beiden Seiten den Zielserver an (DC1->DC2 + DC2->DC1).
Replikations Agents auf beiden Servern sagen "war erfolgreich"! Windows Ereignisprotokoll ist auch sehr nichtssagend, weil keine Fehler...

Leider kann ich den Fehler nicht provozieren, oder gar die Server neustarten. Deswegen hoffe ich auf nen guten Tipp wo man noch gucken sollte.


LG

JiggyLee

Content-ID: 322318

Url: https://administrator.de/forum/ad-dc-failover-zeitintensiv-und-dhcp-repliziert-nicht-322318.html

Ausgedruckt am: 27.12.2024 um 10:12 Uhr

Dani
Dani 28.11.2016 um 17:51:58 Uhr
Goto Top
Moin,
Wir haben 2 DCs im Einsatz. Standard Setup mit 1 Master und 1 Slave.
a) Welches Betriebssystem läuft auf dem jeweiligen DC?
b) Wie richtet man Master und Slave? Bitte sag nicht PDC und BDC.

Wenn DC1 ausfällt braucht DC2 ganze 10-15 Minuten bis dieser wieder übernimmt.
Wie hast du das festgestellt? Um welche Dienste dreht es sich?

DC2 hat angeblich Schwierigkeiten die Route von DC1 zu übernehmen.
Was für eine Route?

Alle IPs müssen auf beiden Servern händisch eingetragen werden. Failover ist konfiguriert und zeigt auf beiden Seiten den Zielserver an (DC1->DC2 + DC2->DC1).
Die IP-Adressen werden statisch pro DC (eindeutig) in den Netzwerkkarten hinterlegt.


Gruß,
Dani
JiggyLee
JiggyLee 29.11.2016 um 14:53:55 Uhr
Goto Top
Moin Dani,

danke für deine Antwort. face-smile

a) Welches Betriebssystem läuft auf dem jeweiligen DC?
Windows Server 2012 R2

b) Wie richtet man Master und Slave? Bitte sag nicht PDC und BDC.
Die Einrichtung fand Jahre vor meiner Anstellung statt. Und doch ich sage PDC und BDC, denn mehr haben wir nicht was zum DC taugt.

Wie hast du das festgestellt? Um welche Dienste dreht es sich?
Festgestellt haben dies meine Kollegen während des Betriebs. Der letzte Ausfall ist schon eine bisschen her. Mein IT-Kollege hatte dies miterlebt und ich spiegle einfach nur das erzählte wieder. Es soll in der Vergangenheit allerdings schon 2x passiert sein und es hat den Betrieb einfach fast ne viertel Stunde aufgehalten.

Was für eine Route?
Das war wieder ein Zitat meines Kollegen. Ich nehme an er meinte die Übermittlung des Standard Gateways vom DHCP.

Alle IPs müssen auf beiden Servern händisch eingetragen werden. Failover ist konfiguriert und zeigt auf beiden Seiten den Zielserver an (DC1->DC2 + DC2->DC1).
Die IP-Adressen werden statisch pro DC (eindeutig) in den Netzwerkkarten hinterlegt.
Damit meine ich nicht die Netz konfiguration vom Server, sondern alle statischen IP-Adressen der Nutzer im DHCP und vorallem auch die Reservierungen. Sorry für die Verwirrung!
Dani
Dani 04.12.2016 um 19:31:55 Uhr
Goto Top
Moin,
Und doch ich sage PDC und BDC, denn mehr haben wir nicht was zum DC taugt.
Ich sage dir PDC/BDC gibt es schon seit Jahren nicht mehr. Heute ist das Stichwort FSMO-Rollen. Du kannst du heute einfache Domain Controller mit GC, DNS und DHCP problemlos redudant auslegen ohne große Umwege.

Ich nehme an er meinte die Übermittlung des Standard Gateways vom DHCP.
Verstehe ich nicht...warum mus das Standard-Gateway im DHCP angepasst werden. Ich kann mir nicht vorstellen, dass euere DCs das Gateway für die Rechner sind. Und mit einer Netzwerk Route hat das gar nix zu tun.

Damit meine ich nicht die Netz konfiguration vom Server, sondern alle statischen IP-Adressen der Nutzer im DHCP und vorallem auch die Reservierungen. Sorry für die Verwirrung!
Aber warum? Beträgt die DHCP Lease Time so klein?

Es wäre hilfreich, wenn du die Aussage einer Kollegen verifiziert bzw. prüfst bevor du hier antwortest. Denn so kommen wir von einem Problem zum anderen und treten eigentlich auf der Stelle.


Gruß,
Dani
JiggyLee
JiggyLee 05.12.2016 aktualisiert um 09:11:53 Uhr
Goto Top
Ich sage dir PDC/BDC gibt es schon seit Jahren nicht mehr. Heute ist das Stichwort FSMO-Rollen. Du kannst du heute einfache Domain Controller mit GC, DNS und DHCP problemlos redudant auslegen ohne große Umwege.

Ich habe soeben die FSMO Rollen gecheckt und DC1 ist alleiniger FSMO Role Holder. DC2 sieht das DC1 der FSMO ist.
Die FSMO rollen sollten aber kein Einfluss auf die Replikation von DHCP haben. Somit sehe ich hier nicht die Problemzone bei der Replikation.
Was das Thema Failover betrifft, meine ich das hier das Problem mit dem hohen Delay bei einem Ausfall ist.

Verstehe ich nicht...warum mus das Standard-Gateway im DHCP angepasst werden. Ich kann mir nicht vorstellen, dass euere DCs das Gateway für die Rechner sind. Und mit einer Netzwerk Route hat das gar nix zu tun.

Ganz so falsch war seine Aussage jetzt nicht was das Standard Gateway betrifft. Die DCs sind nicht das Gateway, aber die übertragen das Standardgateway über den DHCP an die Clients. Darauf wollte der Kollege hinaus.

Damit meine ich nicht die Netz konfiguration vom Server, sondern alle statischen IP-Adressen der Nutzer im DHCP und vorallem auch die Reservierungen. Sorry für die Verwirrung!
Aber warum? Beträgt die DHCP Lease Time so klein?

Nochmal zum Verständnis: Von DC1 auf DC2 werden alle AD relevanten Einstellungen repliziert (soweit wir davon wissen), bis auf die DHCP Eintragungen (Leases, Reservierungen). Selbst wenn die Replikation händisch mit einem Skript angestoßen wird, tut sich rein gar nichts.
DC1 und DC2 wurden als DHCP Failover mit Loadbalancing (50/50) konfiguriert.

Es wäre hilfreich, wenn du die Aussage einer Kollegen verifiziert bzw. prüfst bevor du hier antwortest. Denn so kommen wir von einem Problem zum anderen und treten eigentlich auf der Stelle.

der Senior "IT-Admin" hier ist ein Systemelektroniker mit basic IT Wissen. Sehr viel mehr infos werde ich da auch nicht raus holen können.
Ich selber komme mehr aus der Linux Welt. Ich versuche mich derzeit mich in die Systeme hier rein zu arbeiten und gerade einen Fehler nach den anderen zu beheben.

Ich hasse die Fehlersuche bei Windows. Die Ereignisprotokolle sind nie aufschlussreich und loggen auch nicht alles. Ich finde nirgends irgendwelche Fehler die auf sich AD oder DHCP beziehen.

Dafür finde ich solche Meldungen "Für die IP-Adresse 192.168.100.173 wurde eine Nachricht vom Typ "BINDING-ACK" mit der Transaktions-ID "9879" und dem Ablehnungsgrund "Veraltete Bindungsinformationen" an den Partnerserver "server01.xyz.lokal" für die Failoverbeziehung "server01.xyz.lokal-server06.xyz.lokal" gesendet.""
So eine Meldung kommt in der woche 2x .. mehr ist da nicht zu finden.
Dani
Dani 05.12.2016 um 20:03:49 Uhr
Goto Top
Moin,
Die DCs sind nicht das Gateway, aber die übertragen das Standardgateway über den DHCP an die Clients. Darauf wollte der Kollege hinaus.
aber das Standardgateway muss doch bei einem Ausfall von DC01 nicht geändert werden.

Nochmal zum Verständnis: Von DC1 auf DC2 werden alle AD relevanten Einstellungen repliziert (soweit wir davon wissen), bis auf die DHCP Eintragungen (Leases, Reservierungen). Selbst wenn die Replikation händisch mit einem Skript angestoßen wird, tut sich rein gar nichts.
DC1 und DC2 wurden als DHCP Failover mit Loadbalancing (50/50) konfiguriert.
Lös die Verbindung auf und richte eine Failover-Beziehung in der Variante Hot Standby ein. Dieses Szenario ist hier beschrieben.


Gruß,
Dani
JiggyLee
JiggyLee 09.12.2016 um 10:17:00 Uhr
Goto Top
Hi Dani,

hat ein wenig gedauert. Also meine Kollegen haben gesagt, dass beide DCs vor 4 Monaten auf Hot Standby konfiguriert waren und die haben eben weil es mit der replikation nicht geklappt hat, auf Load Balancing umgestellt.

Diesmal haben mir meine Kollegen ein wenig mehr erzählt. Ich meine, dass der Fehler an DC1 liegt. Das Problem mit der DHCP replikation und dem 15 Minuten delay bei AD Failover gibt es schon seit 1,5 Jahren. Sie haben gemeint, dass die Support Firma DC1 und DC2 aufgesetzt haben. Als damals eine weile nach der 1. Einrichtung das Problem bekannt wurde, haben die ein halbes Jahr später DC2 neu aufgesetzt. Da muss also ein Fehler in der config des DC1 sein. Ich liste mal alle evtl. relevanten Fehler die DC1 bei DHCP ausgibt (Manche sind ein bisschen älter):


Protokollname: System
Quelle:        Microsoft-Windows-DHCP-Server
Datum:         07.12.2016 06:42:15
Ereignis-ID:   1041
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      Server01.xyz.lokal
Beschreibung:
Der DHCP-Dienst stellt keine Dienste für DHCPv4-Clients zur Verfügung, da die aktiven Netzwerkschnittstellen keine statisch konfigurierten IPv4-Adressen besitzen oder keine aktiven Schnittstellen vorhanden sind.

Für die IP-Adresse 192.168.120.43 wurde vom Partnerserver "server06.xyz.lokal" für die Failoverbeziehung "server01.xyz.lokal-server06.xyz.lokal" eine Nachricht vom Typ "BINDING-ACK" mit der Transaktions-ID "34346" und dem Ablehnungsgrund "Veraltete Bindungsinformationen" empfangen.  

Für die IP-Adresse 192.168.100.173 wurde eine Nachricht vom Typ "BINDING-ACK" mit der Transaktions-ID "44962" und dem Ablehnungsgrund "Veraltete Bindungsinformationen" an den Partnerserver "server06.xyz.lokal" für die Failoverbeziehung "server01.xyz.lokal-server06.xyz.lokal" gesendet.  

Diese Fehler entstanden nachdem mein Kollege DC1 runtergefahren und die Integrationsdienste von Hyper-V für die VM (DC1) geupdated hat.

Dieser Dienst musste Manuell gestartet werden. Vielleicht gab es hier irgendein konflikt mit den Integrationsdiensten.

SERVER01	Standortübergreifender Messagingdienst	IsmServ	Beendet	Automatisch 


7.12.16
Der DHCP-Dienst stellt keine Dienste für DHCPv4-Clients zur Verfügung, da die aktiven Netzwerkschnittstellen keine statisch konfigurierten IPv4-Adressen besitzen oder keine aktiven Schnittstellen vorhanden sind.

Der Dienst "Standortübergreifender Messagingdienst" wurde mit folgendem Fehler beendet:   
Der angegebene Server kann den angeforderten Vorgang nicht ausführen.


Mitte letztens Jahres gab es folgende Fehler:

Es wurde festgestellt, dass der DHCP/BINL-Dienst auf dem lokalen Computer in der Windows-Administratordomäne xyz.lokal nicht autorisiert ist zu starten. Der Dienst für die Clients wurde angehalten. Hierfür könnte es folgende Gründe geben: 
	Der Computer gehört zu einer Organisation des Verzeichnisdiensts und ist in derselben nicht autorisiert (Weitere Informationen finden Sie in der Hilfe zur DHCP-Serververwaltung). 

	Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist. 

	Ein unerwarteter Netzwerkfehler ist aufgetreten.

6.9.16
Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.


Warnungen:
Was ich sehr merkwürdig finde. IPv4 ist statisch konfiguriert. Die IPv6 funktion auf dem NIC wurde deaktiviert. Selbst im ipconfig /all wird keine einzige IPv6 angezeigt. Der Hyper-V Host, der DC1 als VM bereit stellt hat eine IPv6 Link local. Das wars ...

Meldung vom 7.12.16
Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.

1.11.2016
Der DHCP-Dienst wird auf einem Domänencontroller ausgeführt und verfügt über keine Anmeldeinformationen, die für die Verwendung mit dynamischen DNS-Registrierungen, die vom DHCP-Dienst initialisiert sind, konfiguriert sind. Dies ist keine empfohlene Sicherheitskonfiguration. Anmeldeinformationen für dynamische DNS-Registrierungen können an der Befehlszeile mit "netsh dhcp server set dnscredentials" oder mithilfe des DHCP-Verwaltungsprogramms konfiguriert werden.  


Auf DC1 hat der DHCP die meisten Fehler, aber über einen längeren Zeitraum verteilt.
JiggyLee
JiggyLee 09.12.2016 aktualisiert um 14:51:53 Uhr
Goto Top
Ich habe mich heute ausschließlich mit den DCs beschäftigt und glaube die Wurzel des Problems gefunden zu haben. Ich habe eine 3 Monate alte Warnung gefunden. Diese befindet sich auf DC2 und bezieht sich auf Server01(DC1) und Server05(ehem.DC2).

Die Active Directory-Domänendienste konnten DNS nicht zum Auflösen der unten  aufgelisteten IP-Adresse des Quelldomänencontrollers verwenden. Die Active  Directory-Domänendienste wurden erfolgreich mithilfe von NetBIOS bzw. dem voll  qualifizierten Computernamen des Quelldomänencontrollers repliziert, um die  Konsistenz der Sicherheitsgruppen, der Gruppenrichtlinie, der Benutzer und Computer und deren Kennwörter zu erhalten. 
 
Eine ungültige DNS-Konfiguration kann andere wichtige Vorgänge auf Mitgliedscomputern, Domänencontrollern oder Anwendungsservern in dieser Active  Directory-Domänendienste-Gesamtstruktur, einschließlich der  Anmeldeauthentifizierung bzw. des Zugriffs auf Netzwerkressourcen, beeinflussen. 
 
Sie sollten diesen DNS-Konfigurationsfehler unverzüglich beheben, damit dieser Domänencontroller die IP-Adresse des Quelldomänencontrollers mithilfe von DNS auflösen kann. 
 
Alternativer Servername: 
 Server01 
Nicht erfolgreicher DNS-Hostname: 
 9060fd1c-8061-4dbb-9707-9b41b6cf05b1._msdcs.xyz.lokal 
 
HINWEIS: Standardmäßig werden nur maximal 10 DNS-Fehler innerhalb eines  Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler aufgetreten  sind. Setzen Sie den folgenden Registrierungswert auf 1, um alle individuellen  Fehlerereignisse zu protokollieren: 
 
Registrierungspfad: 
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client 
 
Benutzeraktion: 
 
 1) Wenn der Quelldomänencontroller nicht mehr funktioniert bzw. dessen Betriebssystem unter einem anderen Computernamen oder NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten des Quelldomänencontrollers mit dem Programm NTDSUTIL.EXE entsprechend der im Microsoft Knowledge Base-Artikel  216498 dargelegten Schritte (möglicherweise in englischer Sprache). 
 
 2) Bestätigen Sie, dass auf dem Quelldomänencontroller Active Directory- Domänendienste ausgeführt wird und dass der Zugriff darauf über das Netzwerk  möglich ist, indem Sie "NET VIEW \\<Quell-DC-Name>" oder "PING  <Quell-DC-Name>" eingeben.   
 
 3) Stellen Sie sicher, dass der Quelldomänencontroller einen gültigen DNS- Server für die DNS-Dienste verwendet und dass der Host- bzw. CNAME-Eintrag des Quelldomänencontrollers richtig registriert ist, indem Sie die für den DNS  erweiterte Version von DCDIAG.EXE (verfügbar unter http://www.microsoft.com/dns) ausführen. 
 
  dcdiag /test:dns 
 
 4) Stellen Sie sicher, dass dieser Zieldomänencontroller einen gültigen DNS- Server für die DNS-Dienste verwendet, indem Sie die für den DNS erweiterte  Version des Befehls DCDIAG.EXE folgendermaßen auf der Konsole ausführen: 
 
  dcdiag /test:dns 
 
 5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie im  Knowledge Base 824449 (möglicherweise in englischer Sprache): 
   http://support.microsoft.com/?kbid=824449 
 
Zusätzliche Daten 
Fehlerwert: 
 11001 Der angegebene Host ist unbekannt. 

Beide DCs können sich mit nslookup gegenseitig auflösen. Die Interfaces sind richtig konfiguriert. Beide DCs zeigen den anderen DC als primären DNS-Server und als alternative sich selbst.
Den DNS diagnosetest habe ich mal auf beiden gestartet mit folgendem resultat:

DC2
Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = Server06
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER06
      Starting test: Connectivity
         ......................... SERVER06 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER06

      Starting test: DNS

         DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten...
         ......................... SERVER06 hat den Test DNS bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: xyz

   Unternehmenstests werden ausgeführt auf: xyz.lokal
      Starting test: DNS
         Zusammenfassung der Testergebnisse für die von den oben aufgeführten Domänencontrollern verwendeten
         DNS-Server:

            DNS-Server: 2001:500:12::d0d (g.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:12::d0d
            DNS-Server: 2001:500:1::53 (h.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:1::53
            DNS-Server: 2001:500:2::c (c.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:2::c
            DNS-Server: 2001:500:2d::d (d.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:2d::d
            DNS-Server: 2001:500:2f::f (f.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:2f::f
            DNS-Server: 2001:500:84::b (b.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:84::b
            DNS-Server: 2001:500:9f::42 (l.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:9f::42
            DNS-Server: 2001:500:a8::e (e.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:a8::e
            DNS-Server: 2001:503:ba3e::2:30 (a.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:503:ba3e::2:30
            DNS-Server: 2001:503:c27::2:30 (j.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:503:c27::2:30
            DNS-Server: 2001:7fd::1 (k.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:7fd::1
            DNS-Server: 2001:7fe::53 (i.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:7fe::53
            DNS-Server: 2001:dc3::35 (m.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:dc3::35
         ......................... xyz.lokal hat den Test DNS bestanden.


DC1
Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = Server01
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER01
      Starting test: Connectivity
         ......................... SERVER01 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standardname-des-ersten-Standorts\SERVER01

      Starting test: DNS

         DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten...
         ......................... SERVER01 hat den Test DNS bestanden.

   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: xyz

   Unternehmenstests werden ausgeführt auf: xyz.lokal
      Starting test: DNS
         Zusammenfassung der Testergebnisse für die von den oben aufgeführten Domänencontrollern verwendeten
         DNS-Server:

            DNS-Server: 128.63.2.53 (h.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 128.63.2.53
            DNS-Server: 2001:500:12::d0d (g.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:12::d0d
            DNS-Server: 2001:500:1::53 (h.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:1::53
            DNS-Server: 2001:500:2::c (c.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:2::c
            DNS-Server: 2001:500:2d::d (d.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:2d::d
            DNS-Server: 2001:500:2f::f (f.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:2f::f
            DNS-Server: 2001:500:84::b (b.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:84::b
            DNS-Server: 2001:500:9f::42 (l.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:9f::42
            DNS-Server: 2001:500:a8::e (e.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:500:a8::e
            DNS-Server: 2001:503:ba3e::2:30 (a.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:503:ba3e::2:30
            DNS-Server: 2001:503:c27::2:30 (j.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:503:c27::2:30
            DNS-Server: 2001:7fd::1 (k.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:7fd::1
            DNS-Server: 2001:7fe::53 (i.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:7fe::53
            DNS-Server: 2001:dc3::35 (m.root-servers.net.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed
on the DNS server 2001:dc3::35
         ......................... xyz.lokal hat den Test DNS bestanden.
Dani
Dani 10.12.2016 um 12:01:30 Uhr
Goto Top
Moin,
Also meine Kollegen haben gesagt, dass beide DCs vor 4 Monaten auf Hot Standby konfiguriert waren und die haben eben weil es mit der replikation nicht geklappt hat, auf Load Balancing umgestellt.
Beide DHCP-Server auf Hot Standby zu konfigurieren ist nicht möglich. Einer ist aktiv und der andere inaktiv.

Die IPv6 funktion auf dem NIC wurde deaktiviert.
Bitte sofort rückgängig machen. Das ist nicht [
http://blogs.msmvps.com/acefekay/2010/05/27/how-to-disable-rss-tcp-chim ... Best Practice]. Bitte auf allen VMs inkl. Hyper-V ist das Protokoll wieder aktivieren und anschließend den jeweiligen Server neustarten.

Zu den Informationen kann ich nichts sagen, weil ich nicht weiß wie dein Aufbau aussieht. Poste doch einmal die Netzwerkkonfiguration von DC01 und DC02. Wichtig ist u.a. dass bei den Namenservern zuerst die IP-Adresse des anderen DCs ist. Als zweiten DNS-Server trägst du die IP-Adresse des eigenen DCS sein (kein 127.0.0.1). Anschließend beide DCs nacheinander neustarten.

Danach auf beiden DCs einmal im DNS-Server -> Eigenschaften die Weiterleitungen prüfen. Dort steht meist der Router/Firewall eures Netzwerks drin.

Am Besten nochmals via nslookup auf beiden DCs folgendes testen:
nslookup dc01
nslookup dc02
nslookup FQDN (z.B. sub.test.de)
nslookup www.google.de

Bitte die Ausgaben als Screenshot posten. Bitte die IP-Adressen nicht unkenntlich machen. Darfst aber gerne Pseudo-Adressen angeben. So kann ich dein Konstrukt evtl. besser verstehen.
JiggyLee
JiggyLee 15.12.2016 aktualisiert um 14:44:31 Uhr
Goto Top
moinseen,

sorry das es bei mir etwas gedauert hat. Ich versuche mehrere Baustellen gleichzeitig zu schließen.

Ich habe mich heute nochmal auf den DCs umgesehen, weil mein Bauchgefühl mir gesagt hat, dass bei der Migration von 2003 auf 2012 definitiv was vergessen wurde.

Und siehe da ...

ld = ldap_open("", 389);  
Established connection to .
Retrieving base DSA information...
Getting 1 entries:
Dn: (RootDSE)
configurationNamingContext: CN=Configuration,DC=xyz,DC=lokal; 
currentTime: 15.12.2016 14:32:05 Mitteleuropäische Zeit; 
defaultNamingContext: DC=xyz,DC=lokal; 
dnsHostName: Server06.xyz.lokal; 
domainControllerFunctionality: 6 = ( WIN2012R2 ); 
domainFunctionality: 2 = ( WIN2003 ); 
dsServiceName: CN=NTDS Settings,CN=SERVER06,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=xyz,DC=lokal; 
forestFunctionality: 2 = ( WIN2003 ); 
highestCommittedUSN: 1609031; 
isGlobalCatalogReady: TRUE; 
isSynchronized: TRUE; 
ldapServiceName: xyz.lokal:server06$@xyz.LOKAL; 
namingContexts (5): DC=xyz,DC=lokal; CN=Configuration,DC=xyz,DC=lokal; CN=Schema,CN=Configuration,DC=xyz,DC=lokal; DC=ForestDnsZones,DC=xyz,DC=lokal; DC=DomainDnsZones,DC=xyz,DC=lokal; 
rootDomainNamingContext: DC=xyz,DC=lokal; 
schemaNamingContext: CN=Schema,CN=Configuration,DC=xyz,DC=lokal; 
serverName: CN=SERVER06,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=xyz,DC=lokal; 
subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=xyz,DC=lokal; 
supportedCapabilities (6): 1.2.840.113556.1.4.800 = ( ACTIVE_DIRECTORY ); 1.2.840.113556.1.4.1670 = ( ACTIVE_DIRECTORY_V51 ); 1.2.840.113556.1.4.1791 = ( ACTIVE_DIRECTORY_LDAP_INTEG ); 1.2.840.113556.1.4.1935 = ( ACTIVE_DIRECTORY_V61 ); 1.2.840.113556.1.4.2080 = ( ACTIVE_DIRECTORY_V61_R2 ); 1.2.840.113556.1.4.2237 = ( ACTIVE_DIRECTORY_W8 ); 
supportedControl (37): 1.2.840.113556.1.4.319 = ( PAGED_RESULT ); 1.2.840.113556.1.4.801 = ( SD_FLAGS ); 1.2.840.113556.1.4.473 = ( SORT ); 1.2.840.113556.1.4.528 = ( NOTIFICATION ); 1.2.840.113556.1.4.417 = ( SHOW_DELETED ); 1.2.840.113556.1.4.619 = ( LAZY_COMMIT ); 1.2.840.113556.1.4.841 = ( DIRSYNC ); 1.2.840.113556.1.4.529 = ( EXTENDED_DN ); 1.2.840.113556.1.4.805 = ( TREE_DELETE ); 1.2.840.113556.1.4.521 = ( CROSSDOM_MOVE_TARGET ); 1.2.840.113556.1.4.970 = ( GET_STATS ); 1.2.840.113556.1.4.1338 = ( VERIFY_NAME ); 1.2.840.113556.1.4.474 = ( RESP_SORT ); 1.2.840.113556.1.4.1339 = ( DOMAIN_SCOPE ); 1.2.840.113556.1.4.1340 = ( SEARCH_OPTIONS ); 1.2.840.113556.1.4.1413 = ( PERMISSIVE_MODIFY ); 2.16.840.1.113730.3.4.9 = ( VLVREQUEST ); 2.16.840.1.113730.3.4.10 = ( VLVRESPONSE ); 1.2.840.113556.1.4.1504 = ( ASQ ); 1.2.840.113556.1.4.1852 = ( QUOTA_CONTROL ); 1.2.840.113556.1.4.802 = ( RANGE_OPTION ); 1.2.840.113556.1.4.1907 = ( SHUTDOWN_NOTIFY ); 1.2.840.113556.1.4.1948 = ( RANGE_RETRIEVAL_NOERR ); 1.2.840.113556.1.4.1974 = ( FORCE_UPDATE ); 1.2.840.113556.1.4.1341 = ( RODC_DCPROMO ); 1.2.840.113556.1.4.2026 = ( DN_INPUT ); 1.2.840.113556.1.4.2064 = ( SHOW_RECYCLED ); 1.2.840.113556.1.4.2065 = ( SHOW_DEACTIVATED_LINK ); 1.2.840.113556.1.4.2066 = ( POLICY_HINTS_DEPRECATED ); 1.2.840.113556.1.4.2090 = ( DIRSYNC_EX ); 1.2.840.113556.1.4.2205 = ( UPDATE_STATS ); 1.2.840.113556.1.4.2204 = ( TREE_DELETE_EX ); 1.2.840.113556.1.4.2206 = ( SEARCH_HINTS ); 1.2.840.113556.1.4.2211 = ( EXPECTED_ENTRY_COUNT ); 1.2.840.113556.1.4.2239 = ( POLICY_HINTS ); 1.2.840.113556.1.4.2255; 1.2.840.113556.1.4.2256; 
supportedLDAPPolicies (19): MaxPoolThreads; MaxPercentDirSyncRequests; MaxDatagramRecv; MaxReceiveBuffer; InitRecvTimeout; MaxConnections; MaxConnIdleTime; MaxPageSize; MaxBatchReturnMessages; MaxQueryDuration; MaxTempTableSize; MaxResultSetSize; MinResultSets; MaxResultSetsPerConn; MaxNotificationPerConn; MaxValRange; MaxValRangeTransitive; ThreadMemoryLimit; SystemMemoryLimitPercent; 
supportedLDAPVersion (2): 3; 2; 
supportedSASLMechanisms (4): GSSAPI; GSS-SPNEGO; EXTERNAL; DIGEST-MD5; 

-----------

Jetzt meine frage, weil ich das noch nie selber angestoßen habe die Stufe zu erhöhen, könnte das einen krassen impact geben? Könnte das die Fehler mit dem Ausfall und der Replikation beheben?

Ich müsste sowas für ein Wochenende planen, wenn keiner im Haus ist.
Dani
Dani 16.12.2016 um 09:08:06 Uhr
Goto Top
Moin,
Jetzt meine frage, weil ich das noch nie selber angestoßen habe die Stufe zu erhöhen, könnte das einen krassen impact geben? Könnte das die Fehler mit dem Ausfall und der Replikation beheben?Manche erweitern "nur" das Schema was aber nicht problematisch ist. VMWare Hori### View bzw. Panalogic dagegen setzen ein bestimmtes Schema voraus. Was ich damit sagen möchte, im Notfall prüfen.


Gruß,
Dani