opsec2022
Goto Top

Samba AD DC DNS Troubleshooting

Hallo,

auf zwei Ubuntu Server 21.10 laufen 2 Samba-AD-DCs

  • dc01.my.domain 192.168.50.11
  • dc02.my.domain 10.0.1.1.9

auf den Sites

  • Location 1
  • Location 2

Nach einiger Probleme mit der Replikation, wurde der DC02 Nach wiki erneut gejoined. Hier fiel nach Sysvol-Replikation eine Problematik, betreffend die DNS-Entries auf.

DC01 und deren Clients sind voll funktionsfähig.

Allerdings haben Clients auf Site des DC02 mit DC02 als DNS-Server keine Konnektivität. Der Zugriff auf das Internet ist gegeben. Trotzdessen stimmt etwas mit den DNS-Entries nicht, da Clients hier in der Taskleiste anzeigen, dass keine Internetverbindung besteht. Ohne den DC als DNS ist diese wieder da.

Sowohl das händische Löschen als auch das löschen mithilfe des Samba-Tools resultiert darin, dass Einträge wieder auftauchen.

C:\Users\Administrator.my>dcdiag /test:dns /e /s:dc02.my.domain

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   * Identifizierte AD-Gesamtstruktur.
   Auf dem Server dc02 ist bei der Attributsuche der LDAP-Suchfunktion ein Fehler aufgetreten. Rückgabewert = 81
   Fehler beim Überprüfen des Domänencontrollers auf Verwendung von FRS oder DFSR. Fehler: Win32 Error 81 Die Tests
   "VerifyReferences", "FrsEvent" und "DfsrEvent" können aufgrund dieses Fehlers möglicherweise nicht ausgeführt  
   werden.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Location1\dc01
      Starting test: Connectivity
         ......................... dc01 hat den Test Connectivity bestanden.

   Server wird getestet: Location2\dc02
      Starting test: Connectivity
         Der Host 72041d70-edc8-4609-ba97-caf97ed84c23._msdcs.my.domain konnte nicht zu einer IP-Adresse aufgelöst
         werden. Überprüfen Sie DNS-Server, DHCP, Servername, usw.
         Fehler beim Überprüfen der LDAP- und RPC-Konnektivität. Überprüfen Sie die Firewalleinstellungen.
         ......................... Der Test Connectivity für dc02 ist fehlgeschlagen.

Primärtests werden ausgeführt.

   Server wird getestet: Location1\dc01

   Server wird getestet: Location2\dc02


            Starting test: DNS
               Starting test: DNS

                  DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten...
                  ......................... Der Test DNS für dc01 ist fehlgeschlagen.
         ......................... Der Test DNS für dc02 ist fehlgeschlagen.

   Partitionstests werden ausgeführt auf: my

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Unternehmenstests werden ausgeführt auf: my.domain
      Starting test: DNS
         Testergebnisse für Domänencontroller:

            Domänencontroller: dc02.my.domain
            Domäne: my.domain


               TEST: Basic (Basc)
                  Fehler: Keine LDAP-Konnektivität
                  Error: No WMI connectivity
                  Für diesen Domänencontroller wurden keine Hosteinträge (A oder AAAA) gefunden.


            Domänencontroller: dc01.my.domain
            Domäne: my.domain


               TEST: Basic (Basc)
                  Error: No WMI connectivity
                  Für diesen Domänencontroller wurden keine Hosteinträge (A oder AAAA) gefunden.

         Zusammenfassung der DNS-Testergebnisse:

                                            Auth. Bas. Weiterl. Entf.  Dyn.  RReg. Erw.
            _________________________________________________________________
            Domäne: my.domain
               dc02                       PASS FAIL n/a  n/a  n/a  n/a  n/a
               dc01                       PASS FAIL n/a  n/a  n/a  n/a  n/a

         ......................... Der Test DNS für my.domain ist fehlgeschlagen.

RSAT-DNS


Ich gehe davon aus, dass hier lediglich der A-Record von DC01 mit der IP von DC02 gelöscht werden muss.


Fehlen hier nur die NS Einträge? Die Reverse Zone 2 hat ebenso lediglich einen SOA Eintrag.

Evtl. hat hier jemand eine Idee.

Vielen Dank im Voraus

Gruß

Content-ID: 2692463248

Url: https://administrator.de/forum/samba-ad-dc-dns-troubleshooting-2692463248.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

opsec2022
opsec2022 05.05.2022 um 10:52:13 Uhr
Goto Top
dcdiag dc01
dcdiag /s:dc01

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: location1\dc01
      Starting test: Connectivity
         ......................... dc01 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: location1\dc01
      Starting test: Advertising
         ......................... dc01 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... dc01 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         ......................... dc01 hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         Das SYSVOL ist nicht bereit. Dies kann dazu führen, dass der Domänencontroller nach dem Ausführen von
         "dcpromo" nicht als Domänencontroller für die Anmeldung angekündigt wird. Probleme mit der  
         FRS-SYSVOL-Replikation können zudem zum Auftreten von Problemen mit der Gruppenrichtlinie führen. Weitere
         Informationen finden Sie im FRS-Ereignisprotokoll des Domänencontrollers.
         ......................... Der Test SysVolCheck für dc01 ist fehlgeschlagen.
      Starting test: KccEvent
         ......................... dc01 hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... dc01 hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... dc01 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... dc01 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... dc01 hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         Fehler beim Lesen der Objektmetadaten auf dc01: Die Anforderung wird nicht unterstützt.
         Fehler beim Lesen der Objektmetadaten auf dc01: Die Anforderung wird nicht unterstützt.
         ......................... dc01 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         [Replications Check,dc01] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
            Von dc02 nach dc01
            Namenskontext: DC=DomainDnsZones,DC=my,DC=domain
            Beim Replizieren ist ein Fehler aufgetreten (64):
            Der angegebene Netzwerkname ist nicht mehr verfügbar.
            Auftreten des Fehlers: 2022-05-04 13:06:12.
            Letzter erfolgreicher Vorgang: (never).
            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.
         ......................... Der Test Replications für dc01 ist fehlgeschlagen.
      Starting test: RidManager
         ......................... dc01 hat den Test RidManager bestanden.
      Starting test: Services
            Der Dienst EventSystem auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst RpcSs auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst NTDS auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst DnsCache auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst NtFrs auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst IsmServ auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst kdc auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst SamSs auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst LanmanServer auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst LanmanWorkstation auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst w32time auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Ungültiger Diensttyp: NETLOGON auf dc01; aktueller Wert: WIN32_OWN_PROCESS; erwarteter Wert:
            WIN32_SHARE_PROCESS
            Ungültiger Dienststarttyp: NETLOGON auf dc01; aktueller Wert: DEMAND_START; erwarteter Wert: AUTO_START
         ......................... Der Test Services für dc01 ist fehlgeschlagen.
      Starting test: SystemLog
         ......................... dc01 hat den Test SystemLog bestanden.
      Starting test: VerifyReferences
         Bei einigen Objekten für den Domänencontroller dc01 treten Probleme auf:
            [1] Problem: Erwarteter Wert nicht vorhanden.
             Basisobjekt: CN=NTDS Settings,CN=dc01,CN=Servers,CN=location1,CN=Sites,CN=Configuration,DC=my,DC=domain
             Beschreibung des Basisobjekts: "DSA-Objekt"  
             Attributname des Wertobjekts: serverReferenceBL
             Beschreibung des Wertobjekts: "SYSVOL-FRS-Mitgliedsobjekt"  
             Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"  

            [1] Problem: Erwarteter Wert nicht vorhanden.
             Basisobjekt: CN=dc01,OU=Domain Controllers,DC=my,DC=domain
             Beschreibung des Basisobjekts: "DC-Kontoobjekt"  
             Attributname des Wertobjekts: frsComputerReferenceBL
             Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"  
             Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"  

         ......................... Der Test VerifyReferences für dc01 ist fehlgeschlagen.


   Partitionstests werden ausgeführt auf: my
      Starting test: CheckSDRefDom
         ......................... my hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... my hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
            In der Anwendungsverzeichnispartition DC=ForestDnsZones,DC=my,DC=domain fehlt eine
            Sicherheitsbeschreibungs-Referenzdomäne. Das msDS-SD- Referenzdomänenattribut des Querverweisobjekts
            CN=eae38574-1f35-468b-8ffe-87a1ae6e9c74,CN=Partitions,CN=Configuration,DC=my,DC=domain muss vom
            Administrator auf den DN einer Domäne festgelegt werden.
         ......................... Der Test CheckSDRefDom für ForestDnsZones ist fehlgeschlagen.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
            In der Anwendungsverzeichnispartition DC=DomainDnsZones,DC=my,DC=domain fehlt eine
            Sicherheitsbeschreibungs-Referenzdomäne. Das msDS-SD- Referenzdomänenattribut des Querverweisobjekts
            CN=f2cc8b1b-5761-447c-b3b0-c4eba0975e3c,CN=Partitions,CN=Configuration,DC=my,DC=domain muss vom
            Administrator auf den DN einer Domäne festgelegt werden.
         ......................... Der Test CheckSDRefDom für DomainDnsZones ist fehlgeschlagen.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: my.domain
      Starting test: LocatorCheck
         ......................... my.domain hat den Test LocatorCheck bestanden.
      Starting test: Intersite
         ......................... my.domain hat den Test Intersite bestanden.
dcdiag dc02
C:\Users\Administrator.my>dcdiag /s:dc02

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: location1\dc01
      Starting test: Connectivity
         ......................... dc01 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: location1\dc01
      Starting test: Advertising
         ......................... dc01 hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... dc01 hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         ......................... dc01 hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         Das SYSVOL ist nicht bereit. Dies kann dazu führen, dass der Domänencontroller nach dem Ausführen von
         "dcpromo" nicht als Domänencontroller für die Anmeldung angekündigt wird. Probleme mit der  
         FRS-SYSVOL-Replikation können zudem zum Auftreten von Problemen mit der Gruppenrichtlinie führen. Weitere
         Informationen finden Sie im FRS-Ereignisprotokoll des Domänencontrollers.
         ......................... Der Test SysVolCheck für dc01 ist fehlgeschlagen.
      Starting test: KccEvent
         ......................... dc01 hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... dc01 hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... dc01 hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... dc01 hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... dc01 hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         Fehler beim Lesen der Objektmetadaten auf dc01: Die Anforderung wird nicht unterstützt.
         Fehler beim Lesen der Objektmetadaten auf dc01: Die Anforderung wird nicht unterstützt.
         ......................... dc01 hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         ......................... dc01 hat den Test Replications bestanden.
      Starting test: RidManager
         ......................... dc01 hat den Test RidManager bestanden.
      Starting test: Services
            Der Dienst EventSystem auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst RpcSs auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst NTDS auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst DnsCache auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst NtFrs auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst IsmServ auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst kdc auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst SamSs auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst LanmanServer auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst LanmanWorkstation auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Der Dienst w32time auf dc01 konnte nicht geöffnet werden. Fehler: 0x424
            "Der angegebene Dienst ist kein installierter Dienst."  
            Ungültiger Diensttyp: NETLOGON auf dc01; aktueller Wert: WIN32_OWN_PROCESS; erwarteter Wert:
            WIN32_SHARE_PROCESS
            Ungültiger Dienststarttyp: NETLOGON auf dc01; aktueller Wert: DEMAND_START; erwarteter Wert: AUTO_START
         ......................... Der Test Services für dc01 ist fehlgeschlagen.
      Starting test: SystemLog
         ......................... dc01 hat den Test SystemLog bestanden.
      Starting test: VerifyReferences
         Bei einigen Objekten für den Domänencontroller dc01 treten Probleme auf:
            [1] Problem: Erwarteter Wert nicht vorhanden.
             Basisobjekt: CN=NTDS Settings,CN=dc01,CN=Servers,CN=location1,CN=Sites,CN=Configuration,DC=my,DC=domain
             Beschreibung des Basisobjekts: "DSA-Objekt"  
             Attributname des Wertobjekts: serverReferenceBL
             Beschreibung des Wertobjekts: "SYSVOL-FRS-Mitgliedsobjekt"  
             Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"  

            [1] Problem: Erwarteter Wert nicht vorhanden.
             Basisobjekt: CN=dc01,OU=Domain Controllers,DC=my,DC=domain
             Beschreibung des Basisobjekts: "DC-Kontoobjekt"  
             Attributname des Wertobjekts: frsComputerReferenceBL
             Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"  
             Empfohlene Aktion: siehe Knowledge Base-Artikel "Q312862"  

         ......................... Der Test VerifyReferences für dc01 ist fehlgeschlagen.


   Partitionstests werden ausgeführt auf: my
      Starting test: CheckSDRefDom
         ......................... my hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... my hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
            In der Anwendungsverzeichnispartition DC=ForestDnsZones,DC=my,DC=domain fehlt eine
            Sicherheitsbeschreibungs-Referenzdomäne. Das msDS-SD- Referenzdomänenattribut des Querverweisobjekts
            CN=eae38574-1f35-468b-8ffe-87a1ae6e9c74,CN=Partitions,CN=Configuration,DC=my,DC=domain muss vom
            Administrator auf den DN einer Domäne festgelegt werden.
         ......................... Der Test CheckSDRefDom für ForestDnsZones ist fehlgeschlagen.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
            In der Anwendungsverzeichnispartition DC=DomainDnsZones,DC=my,DC=domain fehlt eine
            Sicherheitsbeschreibungs-Referenzdomäne. Das msDS-SD- Referenzdomänenattribut des Querverweisobjekts
            CN=f2cc8b1b-5761-447c-b3b0-c4eba0975e3c,CN=Partitions,CN=Configuration,DC=my,DC=domain muss vom
            Administrator auf den DN einer Domäne festgelegt werden.
         ......................... Der Test CheckSDRefDom für DomainDnsZones ist fehlgeschlagen.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: my.domain
      Starting test: LocatorCheck
         ......................... my.domain hat den Test LocatorCheck bestanden.
      Starting test: Intersite
         ......................... my.domain hat den Test Intersite bestanden.