DC - DNS-Server konnte Active Directory nicht öffnen
Guten Morgen,
ich habe vor kurzem unser Netz umgestellt. Eine Außenstelle die zuvor über einen VPN-Tunnel als Subnetz bei uns drin hing, habe ich via Richtfunk ins Netz integriert. Die IP's & DNS-Server-Einträge wurden von mir bei der Außenstelle auf unser Netz angepasst. Im AD (Standorte & Dienste) hab ich den DC der Außenstelle zum Standort des ersten primären DC hinzugefügt und das nun überflüssige zweite Subnetz entfernt. Die DNS-Einträge auf dem primären DC wurden von mir auch alle angepasst.
Seither macht der noch bestehende DC der damaligen Außenstelle arge Probleme. Er soll weiterhin bestehen für den Fall das die Funkstrecke mal ausfällt.
Die Replikation der beiden DC's funktioniert nun nicht mehr. Der DC der damaligen Außenstelle zeigt nichts mehr im DNS-Manager an. Fehler aus der DNS-Ererignisanzeige: "Der DNS-Server konnte Active Directory nicht öffnen. ...". Jetzt ist mir nicht ganz klar wie das zustande kam. Den Workaround von MS bezüglich des Fehlercodes 4000 den ich erhalte, hab ich ohne Erfolf durchgeführt. Fazit des Ganzen ... DNS kann sich an der lokalen AD nicht anmelden -> die Computer hinter der Richtfunkstrecke haben nun alle DNS-Probleme. Keine Laufwerke etc. ...
Was hab ich vergessen? Ich steh total auf dem Schlauch!
Grüße
Edit: Komischerweise funktioren alle Ping's vom Problemkind-DC auf die DNS-Namen weiterhin. NSLookup meldet Standardserver: Unknown?
ich habe vor kurzem unser Netz umgestellt. Eine Außenstelle die zuvor über einen VPN-Tunnel als Subnetz bei uns drin hing, habe ich via Richtfunk ins Netz integriert. Die IP's & DNS-Server-Einträge wurden von mir bei der Außenstelle auf unser Netz angepasst. Im AD (Standorte & Dienste) hab ich den DC der Außenstelle zum Standort des ersten primären DC hinzugefügt und das nun überflüssige zweite Subnetz entfernt. Die DNS-Einträge auf dem primären DC wurden von mir auch alle angepasst.
Seither macht der noch bestehende DC der damaligen Außenstelle arge Probleme. Er soll weiterhin bestehen für den Fall das die Funkstrecke mal ausfällt.
Die Replikation der beiden DC's funktioniert nun nicht mehr. Der DC der damaligen Außenstelle zeigt nichts mehr im DNS-Manager an. Fehler aus der DNS-Ererignisanzeige: "Der DNS-Server konnte Active Directory nicht öffnen. ...". Jetzt ist mir nicht ganz klar wie das zustande kam. Den Workaround von MS bezüglich des Fehlercodes 4000 den ich erhalte, hab ich ohne Erfolf durchgeführt. Fazit des Ganzen ... DNS kann sich an der lokalen AD nicht anmelden -> die Computer hinter der Richtfunkstrecke haben nun alle DNS-Probleme. Keine Laufwerke etc. ...
Was hab ich vergessen? Ich steh total auf dem Schlauch!
Grüße
Edit: Komischerweise funktioren alle Ping's vom Problemkind-DC auf die DNS-Namen weiterhin. NSLookup meldet Standardserver: Unknown?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 94493
Url: https://administrator.de/forum/dc-dns-server-konnte-active-directory-nicht-oeffnen-94493.html
Ausgedruckt am: 22.12.2024 um 20:12 Uhr
6 Kommentare
Neuester Kommentar
Hmm, du warst leider etwas zu schnell. Probiere mal folgendes:
Ändere am problem DC den primären DNS-Server auf einen DC mit DNS am Hauptstandort. Anschließend zwingst du den Server seine locator-einträge neu zu registrieren. Das geht mit
anschließend änderst du an dem DC, der vom problemkind als DNS-Server verwendet wurde, den primären DNS-Server auf sich selbst. nun führst du auch hier
Sobald dein AD wieder repliziert (und damit auch die AD-Gespeicherten DNS-Zonen), kannst du den DNS-Server auf dem Problemkind wieder verwenden und alles sollte funktionieren.
Falls er trotzdem probleme haben sollte zu replizieren, melde dich bitte wieder. Es kann sein, je nachdem wie du die DNS-Einträge geändert hast, das netdiag /fix nicht funktioniert oder die replikationsverbindungen nicht automatisch neu erstellt werden.
Ändere am problem DC den primären DNS-Server auf einen DC mit DNS am Hauptstandort. Anschließend zwingst du den Server seine locator-einträge neu zu registrieren. Das geht mit
netdiag /fix
. Eventuell musst du dazu noch die Windows Support Tools installieren.anschließend änderst du an dem DC, der vom problemkind als DNS-Server verwendet wurde, den primären DNS-Server auf sich selbst. nun führst du auch hier
netdiag /fix
aus. Warte ca. 5 Minuten und führe nun den befehl dcdiag
gefolgt von dcdiag /test:dns
aus. sollten fehler (außer den Eventlogs) erscheinen, musst du dich zuerst darum kümmern. Ist alles OK, prüfe deine Replikationsverbindungen.Sobald dein AD wieder repliziert (und damit auch die AD-Gespeicherten DNS-Zonen), kannst du den DNS-Server auf dem Problemkind wieder verwenden und alles sollte funktionieren.
Standardserver: Unknown?
Das meldet NSLookup wenn die IP oder der Hostname des DNS-Servers nicht aufgelöst werden kann. Sollte nach oben beschriebener Problembehebung verschwunden sein.Falls er trotzdem probleme haben sollte zu replizieren, melde dich bitte wieder. Es kann sein, je nachdem wie du die DNS-Einträge geändert hast, das netdiag /fix nicht funktioniert oder die replikationsverbindungen nicht automatisch neu erstellt werden.
OK. Allerwichtigste Regel, KEINE PANIK. Du hast eine (zwar nicht aktuelle) Version des AD auf dem 2. Server (Problemkind). Du musst auf diesem das AD wieder online bringen. Also, wo liegt eigentlich das Problem? Der 2. DC kann AD-Integrierte DNS-Zonen nicht laden weil er keinen DC findet. OK...erstelle eine neue, nicht AD-Integrierte Zone mit identischem Namen. Sollte das nicht funktionieren, nimm den neuen Server als DNS. Anschließend sofort netdiag /fix um die locator-einträge in diese lokale Zone zu schreiben. In der nächsten Stufe musst du alle FSMO´s auf den 2. Server übertragen und den ersten per ntdsutil metadata cleanup aus der Domäne entfernen (BITTE KEINE SICHERUNGEN DES ERSTEN DC´S WIEDER VERWENDEN!!!!).
Nun etwas warten, AD Standorte öffnen und alle verwaisten Verbindungen entfernen. Aktiviere bitte auch noch den Globalen Katalog auf dem 2. DC (falls nicht aktiv). Prüfe nun ob Schema, Domain-Naming, RID, Infrastruktur- Master und der PDC Emulator erreichbar sind. (DCDIAG VERWENDEN!!)
Nun sollte auch der DNS-Server auf dem 2. DC wieder laufen. Öffne die DNS-Servwaltung, lösche die Zone _msdcs.domäne und domäne. Erstelle die Zone "domänenname" neu (Sicherheit unsichere Updates zulassen), ändere auf dem DC den DNS auf sich selbst und führe erneut netdiag /fix aus. Etwas warten (ca. 5 min) und dcdiag laufen lassen. Treten noch fehler auf, bitte melden.
Nun solltest du den ersten, neu installierten DC wieder mit dcpromo der Domäne hinzufügen können.
Ist doch ganz einfach -g-.
Nun etwas warten, AD Standorte öffnen und alle verwaisten Verbindungen entfernen. Aktiviere bitte auch noch den Globalen Katalog auf dem 2. DC (falls nicht aktiv). Prüfe nun ob Schema, Domain-Naming, RID, Infrastruktur- Master und der PDC Emulator erreichbar sind. (DCDIAG VERWENDEN!!)
Nun sollte auch der DNS-Server auf dem 2. DC wieder laufen. Öffne die DNS-Servwaltung, lösche die Zone _msdcs.domäne und domäne. Erstelle die Zone "domänenname" neu (Sicherheit unsichere Updates zulassen), ändere auf dem DC den DNS auf sich selbst und führe erneut netdiag /fix aus. Etwas warten (ca. 5 min) und dcdiag laufen lassen. Treten noch fehler auf, bitte melden.
Nun solltest du den ersten, neu installierten DC wieder mit dcpromo der Domäne hinzufügen können.
Ist doch ganz einfach -g-.
OK, Damit ist der Rückweg zur alten Domäne quasi unmöglich.
Das klingt fast als ob die Rechner noch alte Einstellungen haben. Die frische GPO kann nur Einstellungen zurücksetzen, die per Default auch konfiguriert sind. Hmm...das wird immer komplizierter. Am besten setzt du auf einem Client einmal die lokalen Sicherheitseinstellungen auf Windows Setup Default zurück. Das geht durch anwenden der Sicherheitsvorlage "Setup Security" über die MMC Konsole "Sicherheitskonfiguration und Analyse" (Das SnapIn bitte in einer leeren MMC hinzufügen). Anschließend neustart und die GPO's aktualisieren (gpupdate /force). Um sicherzugehen bitte auch mal das Userprofil neu erstellen. Das geht am schnellsten indem du im Ordner C:\Dokumente und Einstellungen" alle bestehenden Benutzernamen in einen backup-Ordner verschiebst. Prüfe bitte nun, ob die Lokale Gruppe "Benutzer" die Gruppe "Domänen-Benutzer" enthält. Falls nicht, eintragen. Administratoren sollte "Domänen-Admins" enthalten.
Falls diese Methoden auch scheitern, benötige ich weitere Informationen. Es wird dann wohl auf eine Systembesichtigung (TeamViewer) hinauslaufen.
Das klingt fast als ob die Rechner noch alte Einstellungen haben. Die frische GPO kann nur Einstellungen zurücksetzen, die per Default auch konfiguriert sind. Hmm...das wird immer komplizierter. Am besten setzt du auf einem Client einmal die lokalen Sicherheitseinstellungen auf Windows Setup Default zurück. Das geht durch anwenden der Sicherheitsvorlage "Setup Security" über die MMC Konsole "Sicherheitskonfiguration und Analyse" (Das SnapIn bitte in einer leeren MMC hinzufügen). Anschließend neustart und die GPO's aktualisieren (gpupdate /force). Um sicherzugehen bitte auch mal das Userprofil neu erstellen. Das geht am schnellsten indem du im Ordner C:\Dokumente und Einstellungen" alle bestehenden Benutzernamen in einen backup-Ordner verschiebst. Prüfe bitte nun, ob die Lokale Gruppe "Benutzer" die Gruppe "Domänen-Benutzer" enthält. Falls nicht, eintragen. Administratoren sollte "Domänen-Admins" enthalten.
Falls diese Methoden auch scheitern, benötige ich weitere Informationen. Es wird dann wohl auf eine Systembesichtigung (TeamViewer) hinauslaufen.