7
DNS-Repizierung bei sekundären DC funktioniert nach übernahme der FSMO-Rollen nicht
Hi Leute,
hier eine kleine einführung in den Sachverhalt:
es geht darum, dass ich am Dienstag abend einen neuen Domänencontroller in die Domäne eingebunden habe. Die Domäne basierte damals auf einem Server 2003. Der neue DC ist ein Server 2008R2.
Am Dienstag habe ich dann begonnen den Server 2008R2 zu installieren und zum sekundären Domänencontroller heraufzustufen. Bei der Installation wurde der Globale-Katalog und der DNS-Server mit installiert. Da die DNS-Zonen AD-Integriert sind brauchte ich den DNS nicht zu konfigurieren.
Soweit so gut. Ich gehe davon aus, dass der "alte" 2003er bald den Geist aufgibt. Im Zuge dessen hab ich auch die FSMO-Rollen mithilfe von NTDSUTIL transferiert.
Jetzt zu dem Problem: Testweise habe ich alle Server heruntergefahren. Den 2008er habe ich zuerst gestartet. Beim Start begann es schon zu "krachen". Wenn ich im Server Manager unter DNS-Server Zonen-Einträge suche sind diese weg (<- keine Forward und Reverse Zone), mit anderen Worten der DNS-Server läuft auf dem neuen Server NICHT! Dadurch steht auch in den "Active Directory Domänen und Benutzer-Konsole" unter Betriebsmaster bei allen FSMO-Rollen "FEHLER". Im Eventlog wird angezeigt, dass durch einen nicht konfigurierten/auffindbaren DNS keine Einträge etc gefunden und geladen werden konnten.
Komisch an der ganzen Sache ist allerdings: Wenn ich den "alten" wieder hoch fahre, nach dem Anmelden 1min warte, ist alles wieder da! Ich kann auch über den neuen Server auf die DNS-Zonen zugreifen und in de FSMO-Rollen steht wieder der richtige Server. D.h. der neuen FSMO-Rollen-Inhaber bekommt die DNS-Zonen bzw. den DNS-Server nicht geladen und "verknüpft" nur auf den alten DNS!
Durch den Befehl "Netdom Query Fsmo" konnte ich allerdings feststellen das alle FSMO-Rollen richtig liegen. Nur wahrscheinlich durch fehlende DNS-Records nicht geladen werden können.
Bin Momentan vorsichtig und möchte nichts weiter kaputt machen und wollte mich hier erkundigen wie ihr weiter vorgehen würdet, beziehungsweise diskutieren warum dies passieren konnte.
Ich hätte eine Vermutung was ich falsch gemacht habe:
Ich habe dem neuen Domänencontroller quasi im gleichen moment wo er DC wurde schon die FSMO-Rollen verpasst. Mit anderen worten-> ich habe bei dcpromo auf "Fertigstellen" geklickt und im gleichen moment CMD geöffnent und durch NTDSUTIL die Rollen übertragen. Dem Server habe ich also keine Zeit gegeben die DNS-Konfig und Zonen sowie die komplette AD zu replizieren. Dadruch das er selber dann nach wenigen Minuten der "Chef" war, konnte der keine Zonen von einem funktionierenden "Chef" ziehen. Könnte dies der Fall sein?
Lösungsvorschlag: FSMO-Rollen wieder auf den alten, den 2008er herabstufen zum "normalen" Server. Danach wieder zum sec. DC herufstufen und mal ein Wochenende Zeit geben zur replizierung und dann den ganzen FSMO-Spass nochmal neu. Was meint ihr?
hier eine kleine einführung in den Sachverhalt:
es geht darum, dass ich am Dienstag abend einen neuen Domänencontroller in die Domäne eingebunden habe. Die Domäne basierte damals auf einem Server 2003. Der neue DC ist ein Server 2008R2.
Am Dienstag habe ich dann begonnen den Server 2008R2 zu installieren und zum sekundären Domänencontroller heraufzustufen. Bei der Installation wurde der Globale-Katalog und der DNS-Server mit installiert. Da die DNS-Zonen AD-Integriert sind brauchte ich den DNS nicht zu konfigurieren.
Soweit so gut. Ich gehe davon aus, dass der "alte" 2003er bald den Geist aufgibt. Im Zuge dessen hab ich auch die FSMO-Rollen mithilfe von NTDSUTIL transferiert.
Jetzt zu dem Problem: Testweise habe ich alle Server heruntergefahren. Den 2008er habe ich zuerst gestartet. Beim Start begann es schon zu "krachen". Wenn ich im Server Manager unter DNS-Server Zonen-Einträge suche sind diese weg (<- keine Forward und Reverse Zone), mit anderen Worten der DNS-Server läuft auf dem neuen Server NICHT! Dadurch steht auch in den "Active Directory Domänen und Benutzer-Konsole" unter Betriebsmaster bei allen FSMO-Rollen "FEHLER". Im Eventlog wird angezeigt, dass durch einen nicht konfigurierten/auffindbaren DNS keine Einträge etc gefunden und geladen werden konnten.
Komisch an der ganzen Sache ist allerdings: Wenn ich den "alten" wieder hoch fahre, nach dem Anmelden 1min warte, ist alles wieder da! Ich kann auch über den neuen Server auf die DNS-Zonen zugreifen und in de FSMO-Rollen steht wieder der richtige Server. D.h. der neuen FSMO-Rollen-Inhaber bekommt die DNS-Zonen bzw. den DNS-Server nicht geladen und "verknüpft" nur auf den alten DNS!
Durch den Befehl "Netdom Query Fsmo" konnte ich allerdings feststellen das alle FSMO-Rollen richtig liegen. Nur wahrscheinlich durch fehlende DNS-Records nicht geladen werden können.
Bin Momentan vorsichtig und möchte nichts weiter kaputt machen und wollte mich hier erkundigen wie ihr weiter vorgehen würdet, beziehungsweise diskutieren warum dies passieren konnte.
Ich hätte eine Vermutung was ich falsch gemacht habe:
Ich habe dem neuen Domänencontroller quasi im gleichen moment wo er DC wurde schon die FSMO-Rollen verpasst. Mit anderen worten-> ich habe bei dcpromo auf "Fertigstellen" geklickt und im gleichen moment CMD geöffnent und durch NTDSUTIL die Rollen übertragen. Dem Server habe ich also keine Zeit gegeben die DNS-Konfig und Zonen sowie die komplette AD zu replizieren. Dadruch das er selber dann nach wenigen Minuten der "Chef" war, konnte der keine Zonen von einem funktionierenden "Chef" ziehen. Könnte dies der Fall sein?
Lösungsvorschlag: FSMO-Rollen wieder auf den alten, den 2008er herabstufen zum "normalen" Server. Danach wieder zum sec. DC herufstufen und mal ein Wochenende Zeit geben zur replizierung und dann den ganzen FSMO-Spass nochmal neu. Was meint ihr?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164629
Url: https://administrator.de/contentid/164629
Ausgedruckt am: 25.11.2024 um 09:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
soweit ich weiß überträgt man die Rollen per ntdsutil nur dann wenn ein Domänencontroller ausgefallen ist und nicht mehr zur Verfügung steht. Mit ntdsutil erzwingt man ein übertragen. Wenn man die Rollen so übertragen hat, darf der alte Domänencontroler nicht mehr ans Netz, weils es sonst kracht. Man kann doch die Rollen per Verwaltungsconsole übertragen. Mit dem das der DNS/ADS keine Zeit hatte sich zu syncroniesieren haste natürlich noch einen Fehler gemacht.
Spontan hört sich das so an als ob du deine Domäne geschrottet hast...... Auf jeden Fall wirds jetzt haarig das ganze zu reparieren.....
Wie gesagt ist mein spontaner Eindruck.
Gruß
Daniel
soweit ich weiß überträgt man die Rollen per ntdsutil nur dann wenn ein Domänencontroller ausgefallen ist und nicht mehr zur Verfügung steht. Mit ntdsutil erzwingt man ein übertragen. Wenn man die Rollen so übertragen hat, darf der alte Domänencontroler nicht mehr ans Netz, weils es sonst kracht. Man kann doch die Rollen per Verwaltungsconsole übertragen. Mit dem das der DNS/ADS keine Zeit hatte sich zu syncroniesieren haste natürlich noch einen Fehler gemacht.
Spontan hört sich das so an als ob du deine Domäne geschrottet hast...... Auf jeden Fall wirds jetzt haarig das ganze zu reparieren.....
Wie gesagt ist mein spontaner Eindruck.
Gruß
Daniel
Hast du den DNS per Hand übertragen?
Export(alt) > Import (neu)
Ich musste das nun schon mehrfach machen!!
Der Replikation vertraue ich nicht... was sich auch schon bestätitgt hat...
Export(alt) > Import (neu)
Ich musste das nun schon mehrfach machen!!
Der Replikation vertraue ich nicht... was sich auch schon bestätitgt hat...
gute Nacht... !!!!
sagt mal, sind wir hier bei Hempels unterm Sofa? sekundären DC bei W2k3 und W2k8
Wenn man es richtig macht, kriegt man sogar eine Windows Domaine zum laufen....
Und wenn man es richtig falsch macht, dann macht man es auch richtig falsch...
Nirgendwo lese ich dass das Schema erweitert wurde -muß man wahrscheinlich auch nicht... oder nicht schreiben
Auf jeden fall kann man ohne alles zu wissen, was da wirklich wie abgelaufen ist und ohne Logs zu lesen nix vernünftiges sagen.
Und nein - diese Megabytes an Log lese ich nicht.
Holt euch jemanden vor Ort und mal über ein paar MCSA/E Lehrgänge nachdenken..
(erst denken, dann lenken) oder wenigstens Yusufs Blog einen Blick schenken.....
!!! Hugh
sagt mal, sind wir hier bei Hempels unterm Sofa? sekundären DC bei W2k3 und W2k8
Wenn man es richtig macht, kriegt man sogar eine Windows Domaine zum laufen....
Und wenn man es richtig falsch macht, dann macht man es auch richtig falsch...
Ich musste das nun schon mehrfach machen!!
dann frag dich mal warum, statt anderen Tipps zu geben...Nirgendwo lese ich dass das Schema erweitert wurde -muß man wahrscheinlich auch nicht... oder nicht schreiben
Auf jeden fall kann man ohne alles zu wissen, was da wirklich wie abgelaufen ist und ohne Logs zu lesen nix vernünftiges sagen.
Und nein - diese Megabytes an Log lese ich nicht.
Holt euch jemanden vor Ort und mal über ein paar MCSA/E Lehrgänge nachdenken..
(erst denken, dann lenken) oder wenigstens Yusufs Blog einen Blick schenken.....
!!! Hugh
jap yusuf ist wirklich gut!! 
Das übertragen ist etwas komplexer... dazu gibt es aber genügend infos bei google und co.... ;)
was ich generell immer mache ist mittels VMWare die Server zu kopieren.... dann kannst du die Domäne so oft zerstören wie du möchtest.... ist ja nicht die echte....
Das solltet ihr euch angewöhnen..... eine Anleitung gibts hier im forum speziell auf dich zugeschnitten bestimmt nicht.... daher infos sammeln und testen... ich habe für ein upgrade von 2003 auf 2008 mit exchange/ad/dns usw einen monat vorlauf gehabt....
hat alles wunderbar funktioniert. Kein spürbarer ausfall....
Das übertragen ist etwas komplexer... dazu gibt es aber genügend infos bei google und co.... ;)
was ich generell immer mache ist mittels VMWare die Server zu kopieren.... dann kannst du die Domäne so oft zerstören wie du möchtest.... ist ja nicht die echte....
Das solltet ihr euch angewöhnen..... eine Anleitung gibts hier im forum speziell auf dich zugeschnitten bestimmt nicht.... daher infos sammeln und testen... ich habe für ein upgrade von 2003 auf 2008 mit exchange/ad/dns usw einen monat vorlauf gehabt....
hat alles wunderbar funktioniert. Kein spürbarer ausfall....
Danke für die Antworten!
die Domäne ist nicht komplett kaputt, Anmeldungen laufen seit 3 Tagen einwandfrei. Per NTDSUTIL kann man die Rollen auch durch einen transfer verschieben, genau so wie per GUI. Ich habe die CMD gewählt da dadurch alle 5 rollen übertragen werden können. Per GUI gehen nur 3!
ich hab das ganze übrigens nach Anleitung von yusuf gemacht. Die Schema-erweiterung wurde letzte Woche erledigt. Denke das ich nochmal zurück rudern werde und den spaß mit nem wochenende replizierzeit wiederhole!
die Domäne ist nicht komplett kaputt, Anmeldungen laufen seit 3 Tagen einwandfrei. Per NTDSUTIL kann man die Rollen auch durch einen transfer verschieben, genau so wie per GUI. Ich habe die CMD gewählt da dadurch alle 5 rollen übertragen werden können. Per GUI gehen nur 3!
ich hab das ganze übrigens nach Anleitung von yusuf gemacht. Die Schema-erweiterung wurde letzte Woche erledigt. Denke das ich nochmal zurück rudern werde und den spaß mit nem wochenende replizierzeit wiederhole!
Salü,
"dann schreib das doch...."
Gruß
ich hab das ganze übrigens nach Anleitung von yusuf gemacht.
Die Schema-erweiterung wurde letzte Woche erledigt.
Die Schema-erweiterung wurde letzte Woche erledigt.
"dann schreib das doch...."
- Geh in Sites and Services und schau dir die NTDS Settings an
- Geh zum DNS Snapin und schau, ob du nicht mal das replizieren nur zu bestimmten DNSsen erlaubt hast
- installier dir die Admintools und schau nach dcdiag
- benutze Replmon
- überlege 3* bevor du jetzt was machst..
Gruß
Testsystem????
Gruss,
jojo
Gruss,
jojo
