minimalwerk
Goto Top

Eintrag in Zone msdcs zeigt auf alten DC

Hallo liebe Community,

wir haben hier einen Server 2012R2 DC installiert der auch DNS und DHCP ist. Dieser läuft in einer vm. Der Hypervisor ist ebenfalls ein Server 2012R2.
Weiterhin gibt es noch 3 weitere vm's mit Server 2012R2 auf denen verschiedene Rollen installiert sind. Es gibt nur einen DC und auch nur einen DNS-Server. Auf allen ist der aktuelle Patchlevel installiert. Der Domänencontroller wurde im Dezember 2013 von einem 2008R2 (Server2) migriert. Laut der uns vorliegenden Doku und Screenshots gab es dabei keine Probleme. Auch läuft die Umgebung bisher wie ein Uhrwerk.

Nun bekommen wir seit einigen Tagen immer wieder Mitteilungen darüber, dass bei einigen Mitarbeitern auf einmal die Netzlaufwerksfreigaben nicht mehr erreichbar sind. Nach paar Minuten sind diese dann wieder da. Auch ist ab und an das Internet grottig langsam und im nächsten Moment wieder sehr flott. Nun habe ich mir den DNS Server mal näher angeschaut und festgestellt, dass im Ordner _msdcs unterhalb der primären, AD integrierten, Zone ein Alias auf den alten Domänencontroller zeigt. Mehr steht dort nicht drin. Die _msdcs Zone im Ordner Forward-Lookupzone enthält alle richtigen Einträge. Siehe auch folgende Screenshots:

Bild1:
8144e03076c7cbd11b79a27dccf474e0

Bild2:
fc85f36976d04ae372fa63cd649f146f


dcdiag bringt auch keine Fehler Meldungen (überall steht bestanden). Die Ausgabe von nslookup ist korrekt und die fsmo Rollen laufen alle auf dem serv01. Unter AD Standorte und Dienste sehe ich auch nur den aktuellen serv01. Unter den Eigenschaften seiner NTDS Settings sehe ich auch den DNS Alias welcher identisch mit dem im Bild 1 gezeigten Wert ist.

Bild 3:
09d4ace36fc36eab927670187a486d9a


Nun habe ich die komplette Umgebung erstmal gesichert und dann den Ordner _msdcs unter der primären Zone gelöscht um ihn wieder herstellen zu lassen. Dazu habe ich folgende Schritte gewählt:

- rechtsklick auf Zone und neuen Domänen Ordner mit den Namen _msdcs angelegt
- DNS Dienste neu gestartet
- ipconfig /flushdns
- ipconfig /registerdns
- net stop netlogon
- net start netlogon
- paar minuten gewartet
- Server neu gestartet

Ergebnis: der Eintrag welcher im Bild 2 zu sehen ist ist genauso wieder dort eingetragen worden und zeigt auf den alten DC (Server2) welcher nicht mehr existent ist. Nun habe ich nochmal dcdiag ausgeführt. Hier mal die Ausgabe:

Verzeichnisserverdiagnose


Anfangssetup wird ausgefhrt:

   Der Homeserver wird gesucht...

   * Vergewissern Sie sich, dass es sich bei dem lokalen Computer serv01 um

   einen Verzeichnisserver handelt. 
   Homeserver = serv01

   * Die Verbindung mit dem Verzeichnisdienst auf Server serv01 wird

   hergestellt.

   * Identifizierte AD-Gesamtstruktur. 
   Collecting AD specific global data 
   * Standortinformationen werden gesammaelt.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=abc,DC=local,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
   The previous call succeeded 
   Iterating through the sites 
   Looking at base site object: CN=NTDS Site Settings,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
   Getting ISTG and options for the site
   * Alle Server werden identifiziert.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=abc,DC=local,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
   The previous call succeeded....
   The previous call succeeded
   Iterating through the list of servers 
   Getting information for the server CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local 
   objectGuid obtained
   InvocationID obtained
   dnsHostname obtained
   site info obtained
   All the info for the server collected
   * Alle Querverweise des Namenskontexts werden identifiziert.

   * 1 Dom„nencontroller gefunden. 1 davon werden getestet.

   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgefhrt.

   
   Server wird getestet: Standardname-des-ersten-Standorts\SERV01

      Starting test: Connectivity

         * Active Directory LDAP Services Check
         Determining IP4 connectivity 
         Determining IP6 connectivity 
         * Active Directory RPC Services Check
         ......................... SERV01 hat den Test Connectivity bestanden.



Prim„rtests werden ausgefhrt.

   
   Server wird getestet: Standardname-des-ersten-Standorts\SERV01

      Starting test: Advertising

         The DC SERV01 is advertising itself as a DC and having a DS.
         The DC SERV01 is advertising as an LDAP server
         The DC SERV01 is advertising as having a writeable directory
         The DC SERV01 is advertising as a Key Distribution Center
         The DC SERV01 is advertising as a time server
         The DS SERV01 is advertising as a GC.
         ......................... SERV01 hat den Test Advertising bestanden.

      Test durch Benutzeranforderung ausgelassen: CheckSecurityError

      Test durch Benutzeranforderung ausgelassen: CutoffServers

      Starting test: FrsEvent

         * Der Ereignisprotokollierungstest fr den Dateireplikationsdienst 
         šberspringt den Test, da auf dem Server DFSR ausgefhrt wird.

         ......................... SERV01 hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         The DFS Replication Event Log. 
         ......................... SERV01 hat den Test DFSREvent bestanden.

      Starting test: SysVolCheck

         * Der SYSVOL-Bereitschaftstest fr den Dateireplikationsdienst 
         Das SYSVOL des Dateireplikationsdiensts ist bereit. 
         ......................... SERV01 hat den Test SysVolCheck bestanden.

      Starting test: KccEvent

         * The KCC Event log test
         Found no KCC errors in "Directory Service" Event log in the last 15 minutes.  
         ......................... SERV01 hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders

         Role Schema Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
         Role Domain Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
         Role PDC Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
         Role Rid Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
         Role Infrastructure Update Owner = CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local
         ......................... SERV01 hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount

         Checking machine account for DC SERV01 on DC SERV01.
         * SPN found :LDAP/serv01.abc.local/abc.local
         * SPN found :LDAP/serv01.abc.local
         * SPN found :LDAP/SERV01
         * SPN found :LDAP/serv01.abc.local/abc
         * SPN found :LDAP/92de19ca-fb66-4957-9ffa-ed12aa7c3e0b._msdcs.abc.local
         * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/92de19ca-fb66-4957-9ffa-ed12aa7c3e0b/abc.local
         * SPN found :HOST/serv01.abc.local/abc.local
         * SPN found :HOST/serv01.abc.local
         * SPN found :HOST/SERV01
         * SPN found :HOST/serv01.abc.local/abc
         * SPN found :GC/serv01.abc.local/abc.local
         ......................... SERV01 hat den Test MachineAccount

         bestanden.

      Starting test: NCSecDesc

         * Security Permissions check for all NC's on DC SERV01.  
         The forest is not ready for RODC. Will skip checking ERODC ACEs.
         * šberprfung der Sicherheitsberechtigungen fr

           DC=ForestDnsZones,DC=abc,DC=local
            (NDNC,Version 3)
         * šberprfung der Sicherheitsberechtigungen fr

           DC=DomainDnsZones,DC=abc,DC=local
            (NDNC,Version 3)
         * šberprfung der Sicherheitsberechtigungen fr

           CN=Schema,CN=Configuration,DC=abc,DC=local
            (Schema,Version 3)
         * šberprfung der Sicherheitsberechtigungen fr

           CN=Configuration,DC=abc,DC=local
            (Configuration,Version 3)
         * šberprfung der Sicherheitsberechtigungen fr

           DC=abc,DC=local
            (Domain,Version 3)
         ......................... SERV01 hat den Test NCSecDesc bestanden.

      Starting test: NetLogons

         * Network Logons Privileges Check
         Verified share \\SERV01\netlogon
         Verified share \\SERV01\sysvol
         ......................... SERV01 hat den Test NetLogons bestanden.

      Starting test: ObjectsReplicated

         SERV01 is in domain DC=abc,DC=local
         Checking for CN=SERV01,OU=Domain Controllers,DC=abc,DC=local in domain DC=abc,DC=local on 1 servers
            Object is up-to-date on all servers.
         Checking for CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local in domain CN=Configuration,DC=abc,DC=local on 1 servers
            Object is up-to-date on all servers.
         ......................... SERV01 hat den Test ObjectsReplicated

         bestanden.

      Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels

      Starting test: Replications

         * Replications Check
         * Replication Latency Check
            DC=ForestDnsZones,DC=abc,DC=local
               Latency information for 2 entries in the vector were ignored.
                  2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
            DC=DomainDnsZones,DC=abc,DC=local
               Latency information for 2 entries in the vector were ignored.
                  2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
            CN=Schema,CN=Configuration,DC=abc,DC=local
               Latency information for 2 entries in the vector were ignored.
                  2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
            CN=Configuration,DC=abc,DC=local
               Latency information for 2 entries in the vector were ignored.
                  2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
            DC=abc,DC=local
               Latency information for 2 entries in the vector were ignored.
                  2 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
         ......................... SERV01 hat den Test Replications bestanden.

      Starting test: RidManager

         * Available RID Pool for the Domain is 2605 to 1073741823
         * serv01.abc.local is the RID Master
         * DsBind with RID Master was successful
         * rIDAllocationPool is 2105 to 2604
         * rIDPreviousAllocationPool is 2105 to 2604
         * rIDNextRID: 2265
         ......................... SERV01 hat den Test RidManager bestanden.

      Starting test: Services

         * Checking Service: EventSystem
         * Checking Service: RpcSs
         * Checking Service: NTDS
         * Checking Service: DnsCache
         * Checking Service: DFSR
         * Checking Service: IsmServ
         * Checking Service: kdc
         * Checking Service: SamSs
         * Checking Service: LanmanServer
         * Checking Service: LanmanWorkstation
         * Checking Service: w32time
         * Checking Service: NETLOGON
         ......................... SERV01 hat den Test Services bestanden.

      Starting test: SystemLog

         * The System Event log test

         Warnung. Ereignis-ID: 0x000003F6

            Erstellungszeitpunkt: 11/14/2015   11:52:04

            Ereigniszeichenfolge:

            Zeitberschreitung bei der Namensaufl”sung fr den Namen _ldap._tcp.dc._msdcs.abc.local., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

         Warnung. Ereignis-ID: 0x00002724

            Erstellungszeitpunkt: 11/14/2015   11:52:36

            Ereigniszeichenfolge:

            Dieser Computer verfgt ber mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach M”glichkeit nur statische IPv6-Adressen, um zuverl„ssige DHCPv6-Servervorg„nge zu gew„hrleisten.

         Warnung. Ereignis-ID: 0x000003F6

            Erstellungszeitpunkt: 11/14/2015   11:52:43

            Ereigniszeichenfolge:

            Zeitberschreitung bei der Namensaufl”sung fr den Namen abc.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

         Warnung. Ereignis-ID: 0x000003F6

            Erstellungszeitpunkt: 11/14/2015   11:52:45

            Ereigniszeichenfolge:

            Zeitberschreitung bei der Namensaufl”sung fr den Namen wpad, nachdem keiner der konfigurierten DNS-Server geantwortet hat.

         Found no errors in "System" Event log in the last 60 minutes.  
         ......................... SERV01 hat den Test SystemLog bestanden.

      Test durch Benutzeranforderung ausgelassen: Topology

      Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences

      Starting test: VerifyReferences

         Der Systemobjektverweis (serverReference)

         CN=SERV01,OU=Domain Controllers,DC=abc,DC=local sowie der Backlink auf

         CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local

          sind korrekt. 
         Der Systemobjektverweis (serverReferenceBL)

         CN=SERV01,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=abc,DC=local

         sowie der Backlink auf

         CN=NTDS Settings,CN=SERV01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=abc,DC=local

         sind korrekt. 
         Der Systemobjektverweis (msDFSR-ComputerReferenceBL)

         CN=SERV01,CN=Topology,CN=Domain System Volume,CN=DFSR-GlobalSettings,CN=System,DC=abc,DC=local

         sowie der Backlink auf CN=SERV01,OU=Domain Controllers,DC=abc,DC=local

         sind korrekt. 
         ......................... SERV01 hat den Test VerifyReferences

         bestanden.

      Test durch Benutzeranforderung ausgelassen: VerifyReplicas

   
      Test durch Benutzeranforderung ausgelassen: DNS

      Test durch Benutzeranforderung ausgelassen: DNS

   
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

   
   Partitionstests werden ausgefhrt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: abc

      Starting test: CheckSDRefDom

         ......................... abc hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... abc hat den Test CrossRefValidation

         bestanden.

   
   Unternehmenstests werden ausgefhrt auf: abc.local

      Test durch Benutzeranforderung ausgelassen: DNS

      Test durch Benutzeranforderung ausgelassen: DNS

      Starting test: LocatorCheck

         Name des globalen Katalogs: \\serv01.abc.local

         Locator Flags: 0xe000f3fd
         PDC Name: \\serv01.abc.local
         Locator Flags: 0xe000f3fd
         Time Server Name: \\serv01.abc.local
         Locator Flags: 0xe000f3fd
         Preferred Time Server Name: \\serv01.abc.local
         Locator Flags: 0xe000f3fd
         KDC Name: \\serv01.abc.local
         Locator Flags: 0xe000f3fd
         ......................... abc.local hat den Test LocatorCheck

         bestanden.

      Starting test: Intersite

         Der Standort Standardname-des-ersten-Standorts wird bersprungen. Der

         Standort liegt auáerhalb des Bereichs, der mithilfe der

         Befehlszeilenargumente angegeben wurde. 
         ......................... abc.local hat den Test Intersite bestanden.


Unter SystemLog bekomme ich nun paar Warnungen angezeigt aber der Test mit Bestanden ausgegeben. Haben die trotzdem etwas zu sagen? Bei allen anderen Tests steht ja wieder bestanden.


Nun zu meinen Fragen:
1. Woher kommt dieser Eintrag?
2. Kann dies die Ursache, an den im ersten Absatz genannten Problemen, sein?
3. Was ist der AD technische Unterschied zw. den beiden _msdcs Ordnern im Bild 1 und 2? Müssen beide da sein? Was ist deren Funktion?

LG, Frank


edit: Unter AD Benutzer und Computer ist mir noch folgendes aufgefallen:

adac080bf688b61ec5c898024b492c75

Content-ID: 288410

Url: https://administrator.de/forum/eintrag-in-zone-msdcs-zeigt-auf-alten-dc-288410.html

Ausgedruckt am: 22.12.2024 um 20:12 Uhr

agowa338
agowa338 14.11.2015 um 18:08:51 Uhr
Goto Top
Geh bitte mal folgende schritte durch:
Lösche als erstes die Zone _msdcs.dom.com anschließend den Ordner _msdcs in der Zone dom.com.
Nun sofort die Zone _msdcs.dom.com als Primäre ActiveDirectory Integrated Zone wieder anlegen.
Rechtsklick auf die Zone dom.com und den Punkt Eigenschaften.
Anschließend auf den Reiter Namenserver wechseln und überprüfen ob er dort noch eingetragen ist.
Sollte dies so sein Löschen.
Anschließend öffnest du die Zone dom.com und überprüfst die "(identisch mit übergeordnetem Ordner)" Einträge.
Fehlerhafte ebenfalls löschen.
Nun den Server neustarten und die Zone _msdcs.dom.com sollte wieder befüllt sein.
Der Ordner _msdcs.dom.com sollte nun grau sein (Verweis auf die Zone).

Ist dein Eintrag jetzt wieder Vorhanden?
Wenn ja, überprüfe Forest-, PDC-, RID- und Infrastrukturmaster sind die Korrekt?

P.S. Wenn du die Domäne schon zensierst, dann musst du sie auch beim Eintrag "hostmaster.dom.com" (Bild 1) zensieren face-wink
P.P.S. Der Eintrag in Benutzer und Computer ist ganz Normal. Wie lange betreust du schon DNS und ADDS?
Dani
Dani 14.11.2015 um 18:10:19 Uhr
Goto Top
Moin,
lies dir dazu folgenden [http://blog.dikmenoglu.de/2008/08/die-metadaten-des-active-directory-unter-windows-server-2008-bereinigen/ Blogeintrag, den Abschnitt "Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen" und "Das bereinigen der Metadaten nach einer erzwungenen Herabstufung oder eines defekten beschreibbaren Windows Server 2008 DCs" durch.


Gruß,
Dani
minimalwerk
minimalwerk 15.11.2015 um 15:56:56 Uhr
Goto Top
Zitat von @Dani:

Moin,
lies dir dazu folgenden [http://blog.dikmenoglu.de/2008/08/die-metadaten-des-active-directory-unter-windows-server-2008-bereinigen/ Blogeintrag, den Abschnitt "Mit NTDSUTIL die Gesamtstrukturmetadaten bereinigen" und "Das bereinigen der Metadaten nach einer erzwungenen Herabstufung oder eines defekten beschreibbaren Windows Server 2008 DCs" durch.


Das hatten wir schon gemacht. In meinem ersten Beitrag habe ich da aber nicht drauf hingewiesen. Nichts desto trotz bin ich das nun nochmal durchgegangen. Es werden keinerlei Reste des alten DC's angezeigt. Alles sieht korrrekt aus und verweist immer nur auf den neuen serv01.
minimalwerk
minimalwerk 15.11.2015 um 16:28:43 Uhr
Goto Top
Zitat von @agowa338:

Geh bitte mal folgende schritte durch:
Lösche als erstes die Zone _msdcs.dom.com anschließend den Ordner _msdcs in der Zone dom.com.
Nun sofort die Zone _msdcs.dom.com als Primäre ActiveDirectory Integrated Zone wieder anlegen.
Rechtsklick auf die Zone dom.com und den Punkt Eigenschaften.
Anschließend auf den Reiter Namenserver wechseln und überprüfen ob er dort noch eingetragen ist.
Sollte dies so sein Löschen.
Anschließend öffnest du die Zone dom.com und überprüfst die "(identisch mit übergeordnetem Ordner)" Einträge.
Fehlerhafte ebenfalls löschen.
Nun den Server neustarten und die Zone _msdcs.dom.com sollte wieder befüllt sein.
Der Ordner _msdcs.dom.com sollte nun grau sein (Verweis auf die Zone).

Danke für deine Anleitung! Aber bevor ich dies nun ausführe habe ich noch eine Frage dazu. Die Zone _msdcs.dom.local ist ja korrekt. Warum soll ich diese löschen und dann AD intergriert neu erstellen? Wird bei der Neuerzeugung auch der Ordener _msdcs in der Zone dom.local neu erstellt und dann grau angezeigt?
agowa338
agowa338 17.11.2015 um 17:53:33 Uhr
Goto Top
Ja wird alles nach einem Server neustart automatisch neu angelegt werden.

Warum ich dir das überhaupt geschrieben habe ist folgendes, du hast _msdcs als Subzone von "dom.com" (also der Ordner) und ebenfalls als eigene Primäre Zone "_msdcs.dom.com" (legt automatisch grauen "Ordner" als hinweis auf eine Primäre Zone als Subdomain).
Das ist sehr ungewöhnlich, normalerweise hat man nur eins von beiden.
Ersteres falls du die Domäne von ca. Win 2000 hochgestuft hast und letzere wenn du eine neue Domäne erstellt hast.
Ich bin mir zwar nicht sicher, ob das dein Problem behebt, aber es ist definitiv sehr seltsam.