bitstash
Goto Top

DC - DNS-Server konnte Active Directory nicht öffnen

Guten Morgen,

ich habe vor kurzem unser Netz umgestellt. Eine Außenstelle die zuvor über einen VPN-Tunnel als Subnetz bei uns drin hing, habe ich via Richtfunk ins Netz integriert. Die IP's & DNS-Server-Einträge wurden von mir bei der Außenstelle auf unser Netz angepasst. Im AD (Standorte & Dienste) hab ich den DC der Außenstelle zum Standort des ersten primären DC hinzugefügt und das nun überflüssige zweite Subnetz entfernt. Die DNS-Einträge auf dem primären DC wurden von mir auch alle angepasst.

Seither macht der noch bestehende DC der damaligen Außenstelle arge Probleme. Er soll weiterhin bestehen für den Fall das die Funkstrecke mal ausfällt.
Die Replikation der beiden DC's funktioniert nun nicht mehr. Der DC der damaligen Außenstelle zeigt nichts mehr im DNS-Manager an. Fehler aus der DNS-Ererignisanzeige: "Der DNS-Server konnte Active Directory nicht öffnen. ...". Jetzt ist mir nicht ganz klar wie das zustande kam. Den Workaround von MS bezüglich des Fehlercodes 4000 den ich erhalte, hab ich ohne Erfolf durchgeführt. Fazit des Ganzen ... DNS kann sich an der lokalen AD nicht anmelden -> die Computer hinter der Richtfunkstrecke haben nun alle DNS-Probleme. Keine Laufwerke etc. ...

Was hab ich vergessen? Ich steh total auf dem Schlauch!

Grüße


Edit: Komischerweise funktioren alle Ping's vom Problemkind-DC auf die DNS-Namen weiterhin. NSLookup meldet Standardserver: Unknown?

Content-ID: 94493

Url: https://administrator.de/forum/dc-dns-server-konnte-active-directory-nicht-oeffnen-94493.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

datasearch
datasearch 17.08.2008 um 22:51:51 Uhr
Goto Top
Hmm, du warst leider etwas zu schnell. Probiere mal folgendes:

Ändere am problem DC den primären DNS-Server auf einen DC mit DNS am Hauptstandort. Anschließend zwingst du den Server seine locator-einträge neu zu registrieren. Das geht mit netdiag /fix. Eventuell musst du dazu noch die Windows Support Tools installieren.
anschließend änderst du an dem DC, der vom problemkind als DNS-Server verwendet wurde, den primären DNS-Server auf sich selbst. nun führst du auch hier netdiag /fix aus. Warte ca. 5 Minuten und führe nun den befehl dcdiag gefolgt von dcdiag /test:dns aus. sollten fehler (außer den Eventlogs) erscheinen, musst du dich zuerst darum kümmern. Ist alles OK, prüfe deine Replikationsverbindungen.

Sobald dein AD wieder repliziert (und damit auch die AD-Gespeicherten DNS-Zonen), kannst du den DNS-Server auf dem Problemkind wieder verwenden und alles sollte funktionieren.

Standardserver: Unknown?
Das meldet NSLookup wenn die IP oder der Hostname des DNS-Servers nicht aufgelöst werden kann. Sollte nach oben beschriebener Problembehebung verschwunden sein.

Falls er trotzdem probleme haben sollte zu replizieren, melde dich bitte wieder. Es kann sein, je nachdem wie du die DNS-Einträge geändert hast, das netdiag /fix nicht funktioniert oder die replikationsverbindungen nicht automatisch neu erstellt werden.
bitstash
bitstash 18.08.2008 um 04:12:03 Uhr
Goto Top
Hallo datasearch,

das Problem hat sich drastisch ausgeweitet. Aus meiner Sicht ist der Super-Gau eingetreten. Der Haupt-DC hat sich nach einem Wasserbad aus der Klimaanlage verabschiedet und ich weiß nicht mehr weiter. Nun steht der zweite DC mit dem oben beschriebenen Fehler da und der Haupt-DC wurde von mir repariert und neu bespielt. Jetzt muss ich AD etc. auf den 2. DC irgendwie zum laufen bekommen, damit ich die AD & Co. auf den 1. replizieren kann. Ich hab zwar zahlreiche Backups vom 1.DC, aber wenn ich diese einspiele mit Systemstate, dann bekomm ich nach dem booten immer die Meldung, dass die Verzeichnispartition nicht vorhanden ist und der Server neu gestartet wird. Toll wenn man sich ewig auf diese Backups verlässt und diese nicht funktionieren. Ich brauch unbedingt ein Abbild des AD vom 2. DC auf dem ersten, sonst bekomm ich ein echtes Problem mit den Benutzerordnern und Profilordnern deren rechte mit der SID verknüpft sind. Neue Domäne und User anlegen ... ok ... aber auf keinen Fall die tausenden von Dateien von Hand in Besitz nehmen.

Ich kann DC 1 auch nicht mehr der Domäne hinzufügen, Zielkontoname ist nicht vorhanden. DC 2 lässt sich nicht hochstufen, weil der PDC also DC 1 nicht kontaktiert. Ich sitz grad in einem Brummkreisel und find keinen Ausweg.

Wäre es nicht sinnvoller in meiner Situation auf DC 1 eine Domäne ganz frisch aufzusetzen? Das allerdings nur wenn ich das AD komplett vom DC 2 integrieren kann (User-SID's! wegen der Benutzerdaten). Das die Domänen-SID sich ändert wär mir wurscht... da dreh ich lieber mal einen Abend durch die Firma und füg alle PC's der neuen Domäne hinzu, als das ich alle Dateien von Hand in Besitz nehme. Gibt es ein gescheites Tool mit dem ich nur die AD-Einträge verlagern kann? Also kein Systemstate ... das hat mich schon geug gestraft.

Vielleicht sieht auch jemand noch einen anderen Ausweg aus der Misere.

Ich leg mich jetzt schlafen und erwarte um 7 die aufgebrachten Anrufe. Gute Nacht
datasearch
datasearch 18.08.2008 um 08:56:03 Uhr
Goto Top
OK. Allerwichtigste Regel, KEINE PANIK. Du hast eine (zwar nicht aktuelle) Version des AD auf dem 2. Server (Problemkind). Du musst auf diesem das AD wieder online bringen. Also, wo liegt eigentlich das Problem? Der 2. DC kann AD-Integrierte DNS-Zonen nicht laden weil er keinen DC findet. OK...erstelle eine neue, nicht AD-Integrierte Zone mit identischem Namen. Sollte das nicht funktionieren, nimm den neuen Server als DNS. Anschließend sofort netdiag /fix um die locator-einträge in diese lokale Zone zu schreiben. In der nächsten Stufe musst du alle FSMO´s auf den 2. Server übertragen und den ersten per ntdsutil metadata cleanup aus der Domäne entfernen (BITTE KEINE SICHERUNGEN DES ERSTEN DC´S WIEDER VERWENDEN!!!!).
Nun etwas warten, AD Standorte öffnen und alle verwaisten Verbindungen entfernen. Aktiviere bitte auch noch den Globalen Katalog auf dem 2. DC (falls nicht aktiv). Prüfe nun ob Schema, Domain-Naming, RID, Infrastruktur- Master und der PDC Emulator erreichbar sind. (DCDIAG VERWENDEN!!)
Nun sollte auch der DNS-Server auf dem 2. DC wieder laufen. Öffne die DNS-Servwaltung, lösche die Zone _msdcs.domäne und domäne. Erstelle die Zone "domänenname" neu (Sicherheit unsichere Updates zulassen), ändere auf dem DC den DNS auf sich selbst und führe erneut netdiag /fix aus. Etwas warten (ca. 5 min) und dcdiag laufen lassen. Treten noch fehler auf, bitte melden.

Nun solltest du den ersten, neu installierten DC wieder mit dcpromo der Domäne hinzufügen können.

Ist doch ganz einfach -g-.
bitstash
bitstash 19.08.2008 um 00:06:04 Uhr
Goto Top
Hallo datasearch,

leichter gesagt als getan. Da mir die Leute im Nacken hockten und ich schnell eine Loesung herbeizaubern musste, hab ich eine neue Domaene auf dem DC 1 aufgesetzt. Auf der will ich jetzt alles neu aufbauen. Aber wie soll es anders sein ... es bleibt verhext. Ich hab das AD samt integriertem DNS neu installiert. Die benutzer hab ich neu angelegt. Was nun aber merkwuerdig ist: Egal mit welchen Computer ich der Domaene beitrete und ich mich mit einen beliebigen Benutzer anmelde, treten trotz des frischen Systems und der nackten GPO nur Probleme auf. Z.B. Amerikanisches Tastaturlayout nach dem Anmeldebildschirm (davor deutsch). Ich kann so gut wie nichts ausfuehren. Die eigenen Dateien werden nicht syncronisiert (ist eingerichtet und Rechte sind i.O.) ... Profile laedt er komischerweise. Alle Profilaenderungen werden nach Abmeldung wieder verworfen. Sprich Taskleisteneinstellungen, IE Einstellungen, etc.. Ich hab keine Rechte mir Drucker einzurichten (Egal ob ueber Anmeldescript oder manuell). Die Benutzer/Computer sind quasi Rechtelos. Auch kurios die Windowslive Splashscreens fuer Kontakte die Online kommen, werden links abgebildet statt rechts. Woran kann das liegen. Ist mir bisher nicht untergekommen sowas. So langsam kapitulier ich ...
datasearch
datasearch 19.08.2008 um 00:24:38 Uhr
Goto Top
OK, Damit ist der Rückweg zur alten Domäne quasi unmöglich.

Das klingt fast als ob die Rechner noch alte Einstellungen haben. Die frische GPO kann nur Einstellungen zurücksetzen, die per Default auch konfiguriert sind. Hmm...das wird immer komplizierter. Am besten setzt du auf einem Client einmal die lokalen Sicherheitseinstellungen auf Windows Setup Default zurück. Das geht durch anwenden der Sicherheitsvorlage "Setup Security" über die MMC Konsole "Sicherheitskonfiguration und Analyse" (Das SnapIn bitte in einer leeren MMC hinzufügen). Anschließend neustart und die GPO's aktualisieren (gpupdate /force). Um sicherzugehen bitte auch mal das Userprofil neu erstellen. Das geht am schnellsten indem du im Ordner C:\Dokumente und Einstellungen" alle bestehenden Benutzernamen in einen backup-Ordner verschiebst. Prüfe bitte nun, ob die Lokale Gruppe "Benutzer" die Gruppe "Domänen-Benutzer" enthält. Falls nicht, eintragen. Administratoren sollte "Domänen-Admins" enthalten.

Falls diese Methoden auch scheitern, benötige ich weitere Informationen. Es wird dann wohl auf eine Systembesichtigung (TeamViewer) hinauslaufen.
bitstash
bitstash 19.08.2008 um 11:52:09 Uhr
Goto Top
Habe sogar alle Benutzerprofile lokal an den Clients entfernt bevor ich diese in die neue Domäne gebracht hab, um dann die die Profile neu zu laden. Aufgefallen ist mir: Profilordner und Eigene Dateien werden nur geladen wenn ich auf dem Server die Besitzerrechte für den Ordner auf Administratoren ändere (Benutzer & System reicht ihm nicht als Vollzugriff) UND die user lokal am Client Admin-Rechte haben. Das ist natürlich fatal, weil ich nicht möchte, dass sich jeder ausleben kann. Vor der Neuaufsetzung hatten die User keine Adminrechte am Client. Jetzt müssen sie die haben, sonst sagt er falsche Rechte etc. und das Profil wird nicht wie gewollt geladen. Desweiteren sagt er bei den meisten Druckern die am Client vom Server bezogen werden beim Drucken das der RPC-Server nicht vorhanden ist/verfügbar ist. Andere modellgleiche Drucker die gleich eingebunden wurden drucken komischer weise.

Mit Teamviewer wäre natürlich eine Möglichkeit. Wenn es dich nicht zu sehr deiner deiner Freizeit beraubt. Ich werd dir mal eine Nachricht mit Kontaktdaten schicken.

Danke im Vorraus...