5
DNS funktioniert nicht mehr wenn ein bestimmter DC aus ist
Guten Abend,
ich habe hier eine letzte VM "dcserver" mit Windows Server 2012 R2 im Einsatz, die endlich abgelöst werden soll. Auf dieser VM ist ein DC installiert und dort liegen auch alle FSMO-Rollen. Es gibt noch zwei weitere DCs, dcserver01 und dcserver02. dcserver01 (Server 2019, GUI) hat die Rollen DHCP und DNS konfiguriert, den dcserver02 (Server 2019, Core) habe ich noch nicht autorisiert.
Mein Plan war, nachdem der dcserver01 eingerichtet ist, den dcserver herunterfahren und testen. Wenn alles iO ist, den dcserver02 fertig einrichten und dann den dcserver außer Betrieb nehmen (FSMO-Rollen übertragen, herunterstufen, etc).
Wir haben nur die eine Domäne und keine Subnetze, alle DCs sind im gleichen Netz am gleichen Standort.
Fahre ich die VM "dcserver" herunter, kann ich keine Domains mehr anpingen und auch keine Webseiten aufrufen.
"ping heise.de" bringt: "Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."
Versuche ich "heise.de" im Browser aufzurufen, kommt keine Verbindung zustande. Das gleiche bei der IP 193.99.144.80 (heise.de).
Sobald die VM wieder läuft, funktioniert das wieder alles.
Die DCs haben feste IPs:
dcserver - 192.168.1.7
dcserver01 - 192.168.1.3
Als bevorzugter DNS-Server ist die IP vom jeweils anderen DC eingetragen und als alternativer DNS-Server die eigene IP.
In der Forward-Lookupzone sind für beide A und AAAA Einträge vorhanden, in der Reverse-Lookupzone NS und PTR Einträge.
Meine Tests habe ich in einer VM mit fester IP vorgenommen, als DNS-Server sind 192.168.1.3 und 192.168.1.7 eingetragen, in dieser Reihenfolge.
Im BPA für die beiden DCs erhalte ich nur einen Fehler, DNSSEC ist bei uns nicht konfiguriert.
Problem:
Keiner der für Zone TrustAnchors konfigurierten sekundären Server reagiert.
Auswirkung:
Bei DNS-Abfragen für die Zone TrustAnchors werden sekundäre Server nicht ausgeführt.
Lösung:
Überprüfen Sie die sekundären Server für Zone TrustAnchors.
Wo muss ich ansetzen, welche Stellen prüfen?
Viele Grüße & schon mal Danke fürs Lesen ;)
ich habe hier eine letzte VM "dcserver" mit Windows Server 2012 R2 im Einsatz, die endlich abgelöst werden soll. Auf dieser VM ist ein DC installiert und dort liegen auch alle FSMO-Rollen. Es gibt noch zwei weitere DCs, dcserver01 und dcserver02. dcserver01 (Server 2019, GUI) hat die Rollen DHCP und DNS konfiguriert, den dcserver02 (Server 2019, Core) habe ich noch nicht autorisiert.
Mein Plan war, nachdem der dcserver01 eingerichtet ist, den dcserver herunterfahren und testen. Wenn alles iO ist, den dcserver02 fertig einrichten und dann den dcserver außer Betrieb nehmen (FSMO-Rollen übertragen, herunterstufen, etc).
Wir haben nur die eine Domäne und keine Subnetze, alle DCs sind im gleichen Netz am gleichen Standort.
Fahre ich die VM "dcserver" herunter, kann ich keine Domains mehr anpingen und auch keine Webseiten aufrufen.
"ping heise.de" bringt: "Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."
Versuche ich "heise.de" im Browser aufzurufen, kommt keine Verbindung zustande. Das gleiche bei der IP 193.99.144.80 (heise.de).
Sobald die VM wieder läuft, funktioniert das wieder alles.
Die DCs haben feste IPs:
dcserver - 192.168.1.7
dcserver01 - 192.168.1.3
Als bevorzugter DNS-Server ist die IP vom jeweils anderen DC eingetragen und als alternativer DNS-Server die eigene IP.
In der Forward-Lookupzone sind für beide A und AAAA Einträge vorhanden, in der Reverse-Lookupzone NS und PTR Einträge.
Meine Tests habe ich in einer VM mit fester IP vorgenommen, als DNS-Server sind 192.168.1.3 und 192.168.1.7 eingetragen, in dieser Reihenfolge.
Im BPA für die beiden DCs erhalte ich nur einen Fehler, DNSSEC ist bei uns nicht konfiguriert.
Problem:
Keiner der für Zone TrustAnchors konfigurierten sekundären Server reagiert.
Auswirkung:
Bei DNS-Abfragen für die Zone TrustAnchors werden sekundäre Server nicht ausgeführt.
Lösung:
Überprüfen Sie die sekundären Server für Zone TrustAnchors.
Wo muss ich ansetzen, welche Stellen prüfen?
Viele Grüße & schon mal Danke fürs Lesen ;)
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3526320572
Url: https://administrator.de/contentid/3526320572
Ausgedruckt am: 25.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Hi
Haben deine anderen DNS Server auch eine Weiterleitung an DNS Server beim Provider / Router eingetragen oder nur der eine DC?
Bitte mal prüfen.
https://www.frankysweb.de/server-2016-active-directory-installation-teil ...
Mit freundlichen Grüßen
Nemesis
Haben deine anderen DNS Server auch eine Weiterleitung an DNS Server beim Provider / Router eingetragen oder nur der eine DC?
Bitte mal prüfen.
https://www.frankysweb.de/server-2016-active-directory-installation-teil ...
Mit freundlichen Grüßen
Nemesis
Guten Morgen Nemesis,
das ist seltsam. Beim dcserver (der ohne den nichts mehr ging) sind keine Weiterleitungen eingetragen. Beim dcserver01 und dcserver 02 waren Weiterleitungen zu den jeweils anderen DCs.
Ich habe jetzt alle vorhandenen Einträge gelöscht und die IP des Routers und 1.1.1.1 eingetragen.
Werde das heute Abend testen.
Danke!
Ergänzung: Den Hinweis aus diesem Kommentar habe ich auch gleich geprüft, hier ist korrekt "AD-integriert" eingestellt.
Windows Server repliziert AD aber nicht DNS
das ist seltsam. Beim dcserver (der ohne den nichts mehr ging) sind keine Weiterleitungen eingetragen. Beim dcserver01 und dcserver 02 waren Weiterleitungen zu den jeweils anderen DCs.
Ich habe jetzt alle vorhandenen Einträge gelöscht und die IP des Routers und 1.1.1.1 eingetragen.
Werde das heute Abend testen.
Danke!
Ergänzung: Den Hinweis aus diesem Kommentar habe ich auch gleich geprüft, hier ist korrekt "AD-integriert" eingestellt.
Windows Server repliziert AD aber nicht DNS
Hi,
mein Test war bislang erfolgreich. Mit ausgeschaltetem dcserver (2012er) funktioniert aktuell alles wie es soll. Ich werde das morgen noch beobachten und gebe dann eine abschließende Rückmeldung.
Verstehen kann ich es trotzdem noch nicht, da die Weiterleitungen auch beim dcserver fehlten und es dennoch funktionierte...
Viele Grüße
Nidavellir
mein Test war bislang erfolgreich. Mit ausgeschaltetem dcserver (2012er) funktioniert aktuell alles wie es soll. Ich werde das morgen noch beobachten und gebe dann eine abschließende Rückmeldung.
Verstehen kann ich es trotzdem noch nicht, da die Weiterleitungen auch beim dcserver fehlten und es dennoch funktionierte...
Viele Grüße
Nidavellir
Hi Nidavellir,
freut mich, dass es wieder wie gewünscht funktioniert.
Ich gehe davon aus, das bei Abschaltung von dcserver die anderen beiden sich nicht der Stammhinweise bedienen (wie es der dcserver tut ohne Weiterleitung), weil sie eine "funktionierende" Weiterleitung konfiguriert haben.
Viele Grüße
freut mich, dass es wieder wie gewünscht funktioniert.
Ich gehe davon aus, das bei Abschaltung von dcserver die anderen beiden sich nicht der Stammhinweise bedienen (wie es der dcserver tut ohne Weiterleitung), weil sie eine "funktionierende" Weiterleitung konfiguriert haben.
Viele Grüße
