2
DNS und Gruppenrichtlinienproblem 2003 Server
Hallo,
nach Einbindung eines externen Netzwerkstorage über ISCSI mit zusätzlichen Netzwerkkarten
und lokalem Netz an den 2003 R2 DC gibt es leider massive DNS Probleme
die auch sehr stark die Gruppenrichtlinien beeinträchtigen.
Ein 2003 R2 Domaincontroller DNS Name aboc.firma.de der auch der DNS Server ist hat eine
Netzwerkkarte mit öffentlicher IP Adresse nach außen 111.111.111.5 Server war bislang ohne Probleme.
Dazu kam ein externes Raid Storage das via ISCSI an den DC angeschlossen wurde.
Zwei zusätzliche Netzwerkkarten wurden im Server eingebaut und
das Raid hintendran mit einem lokalen Netzwerk verbunden.
Die neuen beiden Netzwerkverbindungen haben die lokalen IP Adressen
192.168.0.3 sowie 192.168.1.3.
Ein unschönes Problem war seitdem ist das der Server die eigene DNS
Auflösung aboc.firma.de mit einer der lokalen IP z.B. 192.168.0.1 Adressen beantwortet hat.
Dies ließ sich dann über die Einstellungen "Netzwerkverbindungen -> Erweitert ->
Erweiterte Einstellungen" festlegen sodass die Karte mit der öffentlich IP zuerst
dran genommen wird.
Soweit so gut, das ganze hat aber trotz vermeintlicher Behebung sehr starke Auswirkungen auf
die Gruppenrichtlinien gehabt, diese konnten den Server wegen der DNS Verbindungsprobleme nicht erreichen
wenn man sie angeklickt hat und waren wohl daher nicht mehr aktiv? Nach Umstellung in den Erweiterten Netzwerkeinstellungen
besteht dieses Problem zumindest nicht mehr aber sie spinnen seitdem dennoch komplett, Clients haben komplett falsche Gruppenrichtlinien
gesetzt bekommen, sodass dort u.a. der Fehler entstand das sicher niemand
mehr "interaktiv" anmelden konnte, kurz kein Benutzer konnte Arbeiten.
Auch andere Fehler waren entstanden z.B. falsche Tastatur Sprachoptionen etc.
in den Gruppenrichtlinien sind diese aber nicht als verweigernd oder deaktiviert gesetzt.
Erst durch eine explizite Aktivierung, von z.B. "interaktiver" Anmeldung
für normale Benutzer wurde zumindest das Problem behoben.
Eine Anfrage nslookup aboc.firma.de
Server: localhost
Adress: 127.0.0.1
Name: aboc.firma.de
Adresses: 192.168.0.3, 192.168.1.3, 111.111.111.5
hat immer die Lokalen IPs
mit drin stehen und auch an vorderer Stelle, muss das so sein? Liegt hier vielleicht ein Grund für
die Probleme?
Mein Problem ist jetzt das ich nicht mehr weiß was genau ich noch überprüfen
oder tun soll um die Verteilung der Gruppenrichtlinien wieder wie vorher hinzubekommen?
Von daher ist mir jede Hilfe wirklich sehr willkommen
Vielen Dank schonmal!
nach Einbindung eines externen Netzwerkstorage über ISCSI mit zusätzlichen Netzwerkkarten
und lokalem Netz an den 2003 R2 DC gibt es leider massive DNS Probleme
die auch sehr stark die Gruppenrichtlinien beeinträchtigen.
Ein 2003 R2 Domaincontroller DNS Name aboc.firma.de der auch der DNS Server ist hat eine
Netzwerkkarte mit öffentlicher IP Adresse nach außen 111.111.111.5 Server war bislang ohne Probleme.
Dazu kam ein externes Raid Storage das via ISCSI an den DC angeschlossen wurde.
Zwei zusätzliche Netzwerkkarten wurden im Server eingebaut und
das Raid hintendran mit einem lokalen Netzwerk verbunden.
Die neuen beiden Netzwerkverbindungen haben die lokalen IP Adressen
192.168.0.3 sowie 192.168.1.3.
Ein unschönes Problem war seitdem ist das der Server die eigene DNS
Auflösung aboc.firma.de mit einer der lokalen IP z.B. 192.168.0.1 Adressen beantwortet hat.
Dies ließ sich dann über die Einstellungen "Netzwerkverbindungen -> Erweitert ->
Erweiterte Einstellungen" festlegen sodass die Karte mit der öffentlich IP zuerst
dran genommen wird.
Soweit so gut, das ganze hat aber trotz vermeintlicher Behebung sehr starke Auswirkungen auf
die Gruppenrichtlinien gehabt, diese konnten den Server wegen der DNS Verbindungsprobleme nicht erreichen
wenn man sie angeklickt hat und waren wohl daher nicht mehr aktiv? Nach Umstellung in den Erweiterten Netzwerkeinstellungen
besteht dieses Problem zumindest nicht mehr aber sie spinnen seitdem dennoch komplett, Clients haben komplett falsche Gruppenrichtlinien
gesetzt bekommen, sodass dort u.a. der Fehler entstand das sicher niemand
mehr "interaktiv" anmelden konnte, kurz kein Benutzer konnte Arbeiten.
Auch andere Fehler waren entstanden z.B. falsche Tastatur Sprachoptionen etc.
in den Gruppenrichtlinien sind diese aber nicht als verweigernd oder deaktiviert gesetzt.
Erst durch eine explizite Aktivierung, von z.B. "interaktiver" Anmeldung
für normale Benutzer wurde zumindest das Problem behoben.
Eine Anfrage nslookup aboc.firma.de
Server: localhost
Adress: 127.0.0.1
Name: aboc.firma.de
Adresses: 192.168.0.3, 192.168.1.3, 111.111.111.5
hat immer die Lokalen IPs
mit drin stehen und auch an vorderer Stelle, muss das so sein? Liegt hier vielleicht ein Grund für
die Probleme?
Mein Problem ist jetzt das ich nicht mehr weiß was genau ich noch überprüfen
oder tun soll um die Verteilung der Gruppenrichtlinien wieder wie vorher hinzubekommen?
Von daher ist mir jede Hilfe wirklich sehr willkommen
Vielen Dank schonmal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 153223
Url: https://administrator.de/contentid/153223
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
2 Kommentare
Neuester Kommentar
Hai,
danke für die gut beschriebene Lösung.
Teilweise hatte ich es schon in die Richtung versucht, allerdings ist nun der Entschluss das es
nicht der richtige Weg ist auf dem DC der auch DNS ist das ISCSI einzubinden.
Zuviele Probleme und Workarounds auch für die Zukunft, das machen wir dann lieber auf
ner zweiten Kiste auf Nummer sicher und versuchen nicht den DC zu gefährden
Problem ist jetzt leider das trotz aller Rückstellung der gemachten Änderungen ein paar Fehler auftauchen
im DNS Server, meiner Ansicht nach auch direkt Fehler eines Problemhaften DNS, aber wo liegt der Fehler? :/
1.
Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
2.
Active Directory konnte DNS nicht zum Auflösen der unten aufgelisteten IP-Adresse des Quelldomänencontrollers verwenden. Active Directory wurde erfolgreich mit Hilfe von NetBIOS bzw. dem voll qualifizierten Computernamen des Quelldomänencontrollers repliziert, um die Konsistenz der Sicherheitsgruppen, der Gruppenrichtlinie, der Benutzer und Computer und deren Kennwörter zu erhalten.
Eine ungültige DNS-Konfiguration kann andere wichtige Vorgänge auf Mitgliedscomputern, Domänencontrollern oder Anwendungsservern in dieser Active Directory-Gesamtstruktur, einschließlich der Anmeldeauthentifizierung bzw. den Zugriff auf Netzwerkressourcen, beeinflussen.
Sie sollten diesen DNS-Konfigurationsfehler unverzüglich beheben, damit dieser Domänencontroller die IP-Adresse des Quelldomänencontrollers mit Hilfe von DNS auflösen kann.
Alternativer Servername:
euqnelaq
Fehlgeschlagener DNS-Hostname:
76fb632c-7f86-454b-cc18-d01ce3a152f1._msdcs.firma.de
Anmerkung: Standardmäßig werden nur maximal 10 DNS-Fehler innerhalb eines Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler aufgetreten sind. Setzen Sie den folgenden Registrierungswert auf 1, um alle individuellen Fehlerereignisse zu protokollieren:
Registrierungpfad:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Benutzeraktion:
1) Wenn der Quelldomänencontroller nicht mehr funktioniert bzw. dessen Betriebssystem unter einem anderen Computernamen oder NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten des Quelldomänencontrollers mit dem Programm NTDSUTIL.EXE entsprechend der im MSKB-Artikel 216498 dargelegten Schritte.
2) Bestätigen Sie, dass auf dem Quelldomänencontroller Active Directory ausgeführt wird, und dass auf diesen über das Netzwerk zugegriffen werden kann, indem Sie "NET VIEW \\<Quell-DC-Name>" oder "PING <Quell-DC-Name>" eingeben.
3) Stellen Sie sicher, dass der Quelldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, und dass der Host- bzw. CNAME-Eintrag des Quelldomänencontrollers richtig registriert ist, indem Sie die für den DNS erweiterte Version von DCDIAG.EXE, verfügbar unter http://www.microsoft.com/dns, ausführen.
dcdiag /test:dns
4) Stellen Sie sicher, dass dieser Zieldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, indem Sie die für den DNS erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der Konsole ausführen:
dcdiag /test:dns
5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie unter KB 824449:
http://support.microsoft.com/?kbid=824449
Zusätzliche Daten
Fehlerwert: 11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten des angeforderten Typs gefunden.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
danke für die gut beschriebene Lösung.
Teilweise hatte ich es schon in die Richtung versucht, allerdings ist nun der Entschluss das es
nicht der richtige Weg ist auf dem DC der auch DNS ist das ISCSI einzubinden.
Zuviele Probleme und Workarounds auch für die Zukunft, das machen wir dann lieber auf
ner zweiten Kiste auf Nummer sicher und versuchen nicht den DC zu gefährden
Problem ist jetzt leider das trotz aller Rückstellung der gemachten Änderungen ein paar Fehler auftauchen
im DNS Server, meiner Ansicht nach auch direkt Fehler eines Problemhaften DNS, aber wo liegt der Fehler? :/
1.
Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
2.
Active Directory konnte DNS nicht zum Auflösen der unten aufgelisteten IP-Adresse des Quelldomänencontrollers verwenden. Active Directory wurde erfolgreich mit Hilfe von NetBIOS bzw. dem voll qualifizierten Computernamen des Quelldomänencontrollers repliziert, um die Konsistenz der Sicherheitsgruppen, der Gruppenrichtlinie, der Benutzer und Computer und deren Kennwörter zu erhalten.
Eine ungültige DNS-Konfiguration kann andere wichtige Vorgänge auf Mitgliedscomputern, Domänencontrollern oder Anwendungsservern in dieser Active Directory-Gesamtstruktur, einschließlich der Anmeldeauthentifizierung bzw. den Zugriff auf Netzwerkressourcen, beeinflussen.
Sie sollten diesen DNS-Konfigurationsfehler unverzüglich beheben, damit dieser Domänencontroller die IP-Adresse des Quelldomänencontrollers mit Hilfe von DNS auflösen kann.
Alternativer Servername:
euqnelaq
Fehlgeschlagener DNS-Hostname:
76fb632c-7f86-454b-cc18-d01ce3a152f1._msdcs.firma.de
Anmerkung: Standardmäßig werden nur maximal 10 DNS-Fehler innerhalb eines Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler aufgetreten sind. Setzen Sie den folgenden Registrierungswert auf 1, um alle individuellen Fehlerereignisse zu protokollieren:
Registrierungpfad:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client
Benutzeraktion:
1) Wenn der Quelldomänencontroller nicht mehr funktioniert bzw. dessen Betriebssystem unter einem anderen Computernamen oder NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten des Quelldomänencontrollers mit dem Programm NTDSUTIL.EXE entsprechend der im MSKB-Artikel 216498 dargelegten Schritte.
2) Bestätigen Sie, dass auf dem Quelldomänencontroller Active Directory ausgeführt wird, und dass auf diesen über das Netzwerk zugegriffen werden kann, indem Sie "NET VIEW \\<Quell-DC-Name>" oder "PING <Quell-DC-Name>" eingeben.
3) Stellen Sie sicher, dass der Quelldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, und dass der Host- bzw. CNAME-Eintrag des Quelldomänencontrollers richtig registriert ist, indem Sie die für den DNS erweiterte Version von DCDIAG.EXE, verfügbar unter http://www.microsoft.com/dns, ausführen.
dcdiag /test:dns
4) Stellen Sie sicher, dass dieser Zieldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, indem Sie die für den DNS erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der Konsole ausführen:
dcdiag /test:dns
5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie unter KB 824449:
http://support.microsoft.com/?kbid=824449
Zusätzliche Daten
Fehlerwert: 11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten des angeforderten Typs gefunden.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
