comping
Goto Top

DNS-Problem: Kein mscds-Eintrag vorhanden!

_mscds fehlt!

Hallo,

bei meinem w2k-DC ist im DNS-Server in der Zone kein _mscds-Eintrag vorhanden. Hab noch nicht herausfinden können, warum der nicht da ist. Ich hab aber schon mehrfach gelesen, dass der da sein müste (oder etwa nicht?).

Folgende Struktur im dns-Server:
DNS --> Servername --> Forward-Lookupzone --> DomainXY --> drei Einträge:
2x "(identisch mit übergeordnetem Ordner)" vom Typ Autoritätsursprung und Namenserver und dann noch "Servername" vom Typ Host.
In der Reverse-Lookuopzone ist nichts drin, dass ist auch richtig so.

Ein W2k-DC für ca. dreißig Rechner mit einer internen Domäne. Das ganze ist hier ein institut im uni-netz. Die externe auflösung läuft über einen dicken server des Rechenzentrums, an den auch weitergeleitet wird. Der DC muss also bloß hier intern auflösen. Will jetzt gerade auf einen neuen w2k3-Server umstellen. Bei der Migration gibt's aber nur Probleme (deswegen vielleicht?). Hab vorhin nslookup ausgeführt mit folgendem Ergebnis:

nslookup am neuen zweiten dc ausgeführt:
bei eingabe des alten dc und dns-servers listet er zwei Sachen auf, erst die komplette Bezeichnung für außen, also ServerXY.InstitutXY.UniXY.de + IP-Adresse und dann auch die interne Variante ServerXY.InstitutXY.intern + IP-Adresse. Bei sämtlichen anderen Versuchen zeigt er nur die externe Geschichte an und sagt dann:
Pc005 wurde von ServerXY.InstitutXY.UniXY.de nicht gefunden: Non-existent domain ???????


Wer kann mir da helfen?

Danke und Gruß,
Stefan

Content-ID: 18357

Url: https://administrator.de/forum/dns-problem-kein-mscds-eintrag-vorhanden-18357.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Atti58
Atti58 25.10.2005 um 09:47:19 Uhr
Goto Top
Wieso ist es richtig, dass in der "Reverse Lookup Zone" nichts drin steht?

Gruß

Atti
comping
comping 25.10.2005 um 10:40:20 Uhr
Goto Top
Hallo Atti,

das liegt daran, dass wir hier nur 60 IP-Adressen zur Verfügung haben, also 123.456.789.1 - 123.456.789.59
Für eine Reverse Lookup Zone bräuchte man aber doch einen kompletten Bereich/Oktett 1-256 oder nicht?
comping
comping 25.10.2005 um 11:00:02 Uhr
Goto Top
Vielleicht habe ich die DNS-Zusammenhänge auch einfach noch nicht richtig begriffen. Muss ich eine Reverse Lookup Zone einrichten?
Atti58
Atti58 25.10.2005 um 11:43:19 Uhr
Goto Top
Nach meiner Kenntnis muss das kein kompletter Bereich sein in der Reverse Lookup Zone - die Namenauflösung "rückwärts" klappt aber ohne diese Zone nicht (richtig) ...

Gruß

Atti
comping
comping 25.10.2005 um 12:06:18 Uhr
Goto Top
Ok, dann könnte ich das bei Gelegenheit noch nachholen...

Aber die Auflösung geht in beiden Richtungen nicht. Es ist egal, ob ich die IP oder den Namen eines Clients eingebe, er kann es nicht auflösen. Da stimmt doch was nicht!

Die Clients können generell alle auf den DC zugreifen, aber die DNS-Auflösung scheint nicht zu funktionieren. Mein Problem ist jetzt gerade, dass das alte System natürlich noch in Betrieb ist und ich aber irgendwie an die SIDs aus dem AD des DC kommen muss.
Neu soll dann ein W2k3-DC zum Einsatz kommen mit einer neuen Domäne (anderer Name). Aber wenn ich den einklinke, dann kriegt er das AD nicht repliziert...
Atti58
Atti58 25.10.2005 um 13:58:03 Uhr
Goto Top
Das wird auch so nicht funktionieren, wenn Du den Domänennamen änderst, dann kann das AD nicht repliziert werden.

Wir haben die Domänenumstellung sinngemäß so gemacht:

1. zweite Domäne aufgesetzt
2. Benutzer und Gruppen analog zur alten Domäne erstellt
3. Vertrauenstellung (beidseitig) zwischen den Domänen hergestellt
4. Berechtigungen jeder Gruppe (jedes Users) auf Verzeichnisstruktur (Fileserver) für beide Domänen eingerichtet
5. Umsetzen der Computerkonten in neue Domäne
6. Herunterfahren der alten DC's
7. Berechtigungsstruktur von veralteteten Usern befreit ...

Ich hoffe, ich habe nichts vergessen,

Gruß

Atti.
comping
comping 25.10.2005 um 14:59:33 Uhr
Goto Top
Atti, das hört sich ja sehr gut an!

[Der geänderte Domänenname ist das Ziel! Die Migration versuche ich natürlich schon gerade in der Domäne als 2. DC face-wink]

Mit Verzeichnisstruktur (Fileserver) meinst du bloß den Ordner auf dem Server, wo die Profile liegen? Richtig?
Allerdings, wie stelle ich denn da Berechtigungen ein? Ich trag doch bloß \\fileserver\profile$\%nutzer...% ein...

Kann man die Computerkonten dann einfach von der einen Domäne in die andere rüber schubsen? Hab noch nie mit Vertrauensstellungen, bzw. mehreren Domänen gearbeitet...

Wie gelangen denn dann die SIDs (diese kryptographischen Schlüssel) herüber? Automatisch?

Was genau meinst du mit Punkt 7? Lediglich das Aufräumen und Rausschmeißen der Karteileichen, die schon längst nicht mehr hier arbeiten... face-wink Oder muss ich dann noch irgendwelche Berechtigungen entfernen?

Atti: Vielen Dank!
Es kommt Land in Sicht! face-smile
comping
comping 25.10.2005 um 15:08:29 Uhr
Goto Top
Noch eins: Ich kenn mich mit den höheren Strukturen nicht so aus: Wie müssen die beiden Domänen zueinander erstellt werden? Dürfen das zwei verschiedene Gesamtstrukturen sein oder müssen die irgendwie in einer Struktur oder Forest oder ... zusammen sein?

Edit:
die 5 Betriebsmasterrollen, dürfen die dann nur einmal vorhanden sein? Also beide Domains in einen globalen Katalog?

Gruß, Stefan
Atti58
Atti58 25.10.2005 um 15:26:37 Uhr
Goto Top
Atti, das hört sich ja sehr gut an!

[Der geänderte Domänenname ist das
Ziel! Die Migration versuche ich
natürlich schon gerade in der
Domäne als 2. DC face-wink]

Mit Verzeichnisstruktur (Fileserver) meinst
du bloß den Ordner auf dem Server, wo
die Profile liegen? Richtig?

... nicht ganz, eigentlich meinte ich alle Dateien, die im Netz abgelegt werden auf einem Fileserver. Wir speichern generell nichts im Profil ab, da uns diese schon zu oft kaputt gegangen sind sondern haben eine Verzeichnisstruktur auf einem Server, in der jeder seine Dateien abspeichet - die Profile liegen lokal.


Allerdings, wie stelle ich denn da
Berechtigungen ein? Ich trag doch bloß
\\fileserver\profile$\%nutzer...% ein...

Wenn Du im Explorer auf das Userverzeichnis Rechtsklickst, und "Eigenschaften" -> "Sicherheit" wählst, siehst Du, wer berechtigt ist. Hier kannst Du den gleichen User der Domäne hinzufügen.


Kann man die Computerkonten dann einfach von
der einen Domäne in die andere
rüber schubsen? Hab noch nie mit
Vertrauensstellungen, bzw. mehreren
Domänen gearbeitet...

Nein, siehe 2. - es gibt zwar Migrationstools, die Dir die User von Domäne A nach Domäne B holen, da habe ich aber schon Probleme gehabt ... Die SID bleibt sowieso nicht die gleiche, da unteschiedliche Domänen.

Wie gelangen denn dann die SIDs (diese
kryptographischen Schlüssel)
herüber? Automatisch?

Was genau meinst du mit Punkt 7? Lediglich
das Aufräumen und Rausschmeißen
der Karteileichen, die schon längst
nicht mehr hier arbeiten... face-wink Oder muss
ich dann noch irgendwelche Berechtigungen
entfernen?

Nach der Umstellung siehst Du bei "Eigenschaften" -> "Sicherheit" die Leichen als SID's, die kannst Du dann löschen ...

Atti: Vielen Dank!
Es kommt Land in Sicht! face-smile
Atti58
Atti58 25.10.2005 um 15:31:12 Uhr
Goto Top
Es sind zwei von einander völlig unterschiedliche Domänen, jeder DC hat die Rollen fünf und seinen eigenen globalen Katalog.

Eine Vertrauensstellung richtest Du ein über das AD-SnapIn "AD Domänen und Vertrauesstellungen". Du musst auf beiden Domänen einen User mit Domänenadminrechten haben und DNS muss natürlich auf beiden Domänen fehlerfrei arbeiten,

Gruß

Atti
comping
comping 25.10.2005 um 16:00:03 Uhr
Goto Top
Habs verstanden!

DANKE!

Werd mich da dann mal dran machen und hoffentlich heute abend noch ein Erfolgserlebnis haben...
comping
comping 26.02.2006 um 17:23:53 Uhr
Goto Top
Um diesen Thread abzuschließen:

Es hat alles wunderbar geklappt nach Attis Anleitung...

Allerdings hat es mit der ursprünglichen Frage nach dem _mscds-Eintrag nicht mehr viel zu tun... Das DNS vom alten W2k-Server war irgendwie zerschossen...

Trotzdem werde ich den Thread als gelöst abspeichern...

Nochmal DANKE,

Stefan