12
Zweiten DomänenController installieren
Ich habe Probleme bei der Installation eines zweiten DomänenControllers
Konfiguration:
Server 2003 Domänen
2. DomänenController (Server 2008)
Servus,
ich habe einen zweiten DomänenController installiert.
Mit adprep... die Domänen vorbereitet und anschließend den Server 2008 zum DC hochgezogen.
Nach dem Neustart hat er auch die AD und den DNS repliziert.
Wenn ich jetzt nun den DC1aus dem Betrieb nehme, müsste man sich ja mit einem Client an der Domäne anmelden können - das funktioniert aber nicht.
Habe ich irgendwo einen Denkfehler?
ich habe einen zweiten DomänenController installiert.
Mit adprep... die Domänen vorbereitet und anschließend den Server 2008 zum DC hochgezogen.
Nach dem Neustart hat er auch die AD und den DNS repliziert.
Wenn ich jetzt nun den DC1aus dem Betrieb nehme, müsste man sich ja mit einem Client an der Domäne anmelden können - das funktioniert aber nicht.
Habe ich irgendwo einen Denkfehler?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 181841
Url: https://administrator.de/contentid/181841
Printed on: April 26, 2024 at 17:04 o'clock
12 Comments
Latest comment
Ich vermute, die DNS-Zone ist ADS-integriert. Wennd er alte DC keine DC mehr ist, dann hat er auch diese DNS-Zone nicht mehr. Also müssen alle Clients fortan den neuen DC als DNS-Server benutzen.
ok...
was muss ich dann noch konfigurieren?
muss ich bei den clients den dns cache löschen?
was muss ich dann noch konfigurieren?
muss ich bei den clients den dns cache löschen?
Nein, musst Du nicht.
oder habe ich noch bei der ipconfiguration einen Fehler?
ich habe am DC1 (192.168.3.99) beim DNS als erste Adresse 192.168.3.99 und als 2. DNS Server 192.168.3.97 (2. DC) gegeben
Am DC2 habe ich den ersten DNS 192.168.3.99 und als 2. 192.168.3.97
ich habe am DC1 (192.168.3.99) beim DNS als erste Adresse 192.168.3.99 und als 2. DNS Server 192.168.3.97 (2. DC) gegeben
Am DC2 habe ich den ersten DNS 192.168.3.99 und als 2. 192.168.3.97
Wie ich schon schrieb: Wenn die DNS-Zone ADS-integriert ist, dann hat der DC1 diese nicht mehr, wenn er kein DC mehr ist, also können dann die Clients über diesen nicht mehr auflösen. Auch der DC2 kann das dann nicht mehr, wenn er den DC1 als ersten DNS-Server eingetragen hat un der DNS-Dienst auf dem DC1 aktiv ist.
Also den DC2 solltest Du als erstes mit sich selbst asl ersten DNS eintragen. Weil Du ja offenbar nur einen DC/DNS hast, kannst Du nicht anders.
Wenn der DC1 weiter als DNS-Sever in Betrieb bleiben soll, dann könntest Du ihm sekundäre Zonen verpassen mit dem DC2 als Master. Aber dann können die Clients darüber keine dynamischen Aktualisierungen ausführen.
Besser, Du trägst den DC2 überall als ersten DNS-Server ein und deinstallierst oder deaktivierst den DNS-Server Dienst auf dem DC1. Wenn der Server nicht eh komplett raus gehen sollte ....
Edit: Wenn Du DHCP im Einsatz hast kannst Du den DNS-Server schön einfach per DCHP an die Clients verteilen. Bloß den DC2 musst Du natürlich manuell anpassen.
Also den DC2 solltest Du als erstes mit sich selbst asl ersten DNS eintragen. Weil Du ja offenbar nur einen DC/DNS hast, kannst Du nicht anders.
Wenn der DC1 weiter als DNS-Sever in Betrieb bleiben soll, dann könntest Du ihm sekundäre Zonen verpassen mit dem DC2 als Master. Aber dann können die Clients darüber keine dynamischen Aktualisierungen ausführen.
Besser, Du trägst den DC2 überall als ersten DNS-Server ein und deinstallierst oder deaktivierst den DNS-Server Dienst auf dem DC1. Wenn der Server nicht eh komplett raus gehen sollte ....
Edit: Wenn Du DHCP im Einsatz hast kannst Du den DNS-Server schön einfach per DCHP an die Clients verteilen. Bloß den DC2 musst Du natürlich manuell anpassen.
Ja die DNS Zone ist AD-integriert.
Der erste DC soll gar nicht raus. Es soll nur falls der mal ausfällt (da er schon älter ist) einer da sein, der gleich diese Rolle übernimmt...
Der erste DC soll gar nicht raus. Es soll nur falls der mal ausfällt (da er schon älter ist) einer da sein, der gleich diese Rolle übernimmt...
Dann musst Du das aber auch so in der Frage formulieren!
Es geht also um Redundanz beim DNS Dienst? Dann eben den DC2 als zweiten DNS bei den Clients verteilen.
Wenn der DC1 offline ist, dann wenden sich die Clients an den 2 DNS und fragen nochmal.
Es geht also um Redundanz beim DNS Dienst? Dann eben den DC2 als zweiten DNS bei den Clients verteilen.
Wenn der DC1 offline ist, dann wenden sich die Clients an den 2 DNS und fragen nochmal.
moin,
[1/2OT]
[/1/2OT]
Gruß
[1/2OT]
Edit:
Wenn Du DHCP im Einsatz hast kannst Du den DNS-Server schön einfach per DCHP an die Clients verteilen.
Bloß den DC2 musst Du natürlich manuell anpassen.
Wenn Du DHCP im Einsatz hast kannst Du den DNS-Server schön einfach per DCHP an die Clients verteilen.
Bloß den DC2 musst Du natürlich manuell anpassen.
- ähhh nö ...
[/1/2OT]
Gruß
Kann man machen, ist dafür aber nicht gedacht. Katze-beißt-sich-in-den-Schwanz-Problem.
Kein DNS --> Kein ADS --> keine GPO --> kein DNS ....
Damit ein Client sein ADS finden kann, um sich dann die GPO zu ziehen, muss er erstmal über DNS die Domäne finden. Also braucht er bereits in seiner TCP/IP-Konfiguration (egal ob statisch oder DHCP) einen DNS-Server, der ihm die Namen seiner Domäne auflösen kann.
In einem kleinem Netzt macht anderes keinen Sinn.
Wenn Du z.B. verhindern willst, dass jeder DHCP-Client gleich einen "großen" DNS-Server kommt, dann kannst Du einen "kleinen" aufsetzen, der nur die für die Verbindung zur Domäne notwendigen Zonen-Einträge hat. Wenn der Client dann erfolgreich angemeldet ist und sich seine GPO zieht, dann hat er ab sofort den "großen" Server mit den "vielen" Informationen.
Oder kennst Du da noch ein anderes sinnvolles Szenario?
Kein DNS --> Kein ADS --> keine GPO --> kein DNS ....
Damit ein Client sein ADS finden kann, um sich dann die GPO zu ziehen, muss er erstmal über DNS die Domäne finden. Also braucht er bereits in seiner TCP/IP-Konfiguration (egal ob statisch oder DHCP) einen DNS-Server, der ihm die Namen seiner Domäne auflösen kann.
In einem kleinem Netzt macht anderes keinen Sinn.
Wenn Du z.B. verhindern willst, dass jeder DHCP-Client gleich einen "großen" DNS-Server kommt, dann kannst Du einen "kleinen" aufsetzen, der nur die für die Verbindung zur Domäne notwendigen Zonen-Einträge hat. Wenn der Client dann erfolgreich angemeldet ist und sich seine GPO zieht, dann hat er ab sofort den "großen" Server mit den "vielen" Informationen.
Oder kennst Du da noch ein anderes sinnvolles Szenario?
Moin,
weil wir grad bei Rollen sind, fallen mir die FSMO - Rollen ein - DC1 darf also nicht ewig offline sein, wenn er die Rollen trägt....
Gruß
24
weil wir grad bei Rollen sind, fallen mir die FSMO - Rollen ein - DC1 darf also nicht ewig offline sein, wenn er die Rollen trägt....
Gruß
24
Salü,
neee neee - kiste meldet sich an, bekommt via dhcp einen DNS, zieht sich die gpo und dann bekommt die den anderen dazu.
Hier gings doch nur darum, den zweiten nicht per Turnschuh oder psexec zu verteilen...
Und das mit der Gpo ist eine vorgefertigte Onboard, nix selber zusammengebratenes aus Muttis Backstube...
und 24 hat den anderen nagel auf den Punkt gebracht, zusätzlich hagelts dann Fehler bis zum abwinken KCC dein Freund und Helfer
Zitat von @emeriks:
Kann man machen, ist dafür aber nicht gedacht. Katze-beißt-sich-in-den-Schwanz-Problem.
Nö, genauer - kann man machen, ist auch dafür gedacht und das beissende Problem hab ich ja schon beschrieben...Kann man machen, ist dafür aber nicht gedacht. Katze-beißt-sich-in-den-Schwanz-Problem.
Kein DNS --> Kein ADS --> keine GPO --> kein DNS ....
neee neee - kiste meldet sich an, bekommt via dhcp einen DNS, zieht sich die gpo und dann bekommt die den anderen dazu.
Hier gings doch nur darum, den zweiten nicht per Turnschuh oder psexec zu verteilen...
Und das mit der Gpo ist eine vorgefertigte Onboard, nix selber zusammengebratenes aus Muttis Backstube...
Damit ein Client sein ADS finden kann, um sich dann die GPO zu ziehen, muss er erstmal über DNS die Domäne finden. Also
braucht er bereits in seiner TCP/IP-Konfiguration (egal ob statisch oder DHCP) einen DNS-Server, der ihm die Namen seiner Domäne auflösen kann.
braucht er bereits in seiner TCP/IP-Konfiguration (egal ob statisch oder DHCP) einen DNS-Server, der ihm die Namen seiner Domäne auflösen kann.
- Yupp
In einem kleinem Netzt macht anderes keinen Sinn.
Oder kennst Du da noch ein anderes sinnvolles Szenario?
Naja, das obere passt doch.und 24 hat den anderen nagel auf den Punkt gebracht, zusätzlich hagelts dann Fehler bis zum abwinken KCC dein Freund und Helfer
@Timo
Sorry, aber ist da nicht ein kleiner Denkfehler drin?
Die GPO's kenne ich zur Genüge. Was ich jetzt aber echt nicht weiß, ob dieser per GPO verteilte DNS-Server dann fest übernommen wird, oder ob der bloß zur Laufzeit gilt, also nachdem die Kiste voll hochgefahren ist. Habe ich nicht auspropbiert. Speichert sich das der Client zwischen?
Auch für den Fall, dass er mal keine GPO's aktualisieren kann? Denn die Einstellungen im TCP/IP an der Netzkarte werden ja dadurch nicht geändert.
bzgl. des 2. DC habe ich überlesen, dass der 2. DC sich selbst ja auch noch als zweiten DNS drin stehen hat, wie Kernmaster schreibt. Das relativiert ein bißchen.
@kernmaster
Für die Redundanz solltest Du den 2. DC auch zum Global Catalog machen. Der fehlt Dir beim Anmelden nähmlich eher als die FSMO's.
Sorry, aber ist da nicht ein kleiner Denkfehler drin?
Die GPO's kenne ich zur Genüge. Was ich jetzt aber echt nicht weiß, ob dieser per GPO verteilte DNS-Server dann fest übernommen wird, oder ob der bloß zur Laufzeit gilt, also nachdem die Kiste voll hochgefahren ist. Habe ich nicht auspropbiert. Speichert sich das der Client zwischen?
Auch für den Fall, dass er mal keine GPO's aktualisieren kann? Denn die Einstellungen im TCP/IP an der Netzkarte werden ja dadurch nicht geändert.
bzgl. des 2. DC habe ich überlesen, dass der 2. DC sich selbst ja auch noch als zweiten DNS drin stehen hat, wie Kernmaster schreibt. Das relativiert ein bißchen.
@kernmaster
Für die Redundanz solltest Du den 2. DC auch zum Global Catalog machen. Der fehlt Dir beim Anmelden nähmlich eher als die FSMO's.