1
AD - DNS Subzone wird nicht repliziert
AD - DNS-Einträge für Subzone /-domain werden nicht mehr repliziert
Hallo,
ich habe folgendes Problem:
Die DNS-Replikation in meinem AD lief bis vor kurzen anscheinend problemlos. Allerdings werden jetzt von einer Sub-Domain die DNS-Einträge nicht mehr repliziert.
Das Setup:
Eine Hauptdomäne firma.de mit mehreren DCs.
Mehrere Subdomänen standort.firma.de mit 1-2 DCs.
Für einen Standord werden die DNS-Einträge nicht mehr in den Forward-Lookup-Zones aktualisiert, ebenso wird die Reverse-Lookup-Zone nicht mehr repliziert.
Auf den Haupt-DCs gibt es zwar einen Eintrag problemstandort.firma.de, aber dort befinden sich nur die Einträge für den DC, also keine Einträge für _msdcs, _sites, _tcp, _udp und DomainDNSZones.
Auf dem DC in dem Standort sind aber die entsprechenden Einträge noch vorhanden.
Gibt es eine Möglichkeit, die Replikation und damit die Einträge wieder hin zu bekommen?
Ich habe schon versucht, die DNS-Dienste auf den entsprechenden DCs neu zu starten.
Im DNS-Server Ereignisprotokoll auf den DCs tauchen keine Fehlermeldungen auf.
In den Zonen sind die DCs als Nameserver eingetragen, die Zonen sind Active-Directory integriert.
Vielen Dank im Voraus
ich habe folgendes Problem:
Die DNS-Replikation in meinem AD lief bis vor kurzen anscheinend problemlos. Allerdings werden jetzt von einer Sub-Domain die DNS-Einträge nicht mehr repliziert.
Das Setup:
Eine Hauptdomäne firma.de mit mehreren DCs.
Mehrere Subdomänen standort.firma.de mit 1-2 DCs.
Für einen Standord werden die DNS-Einträge nicht mehr in den Forward-Lookup-Zones aktualisiert, ebenso wird die Reverse-Lookup-Zone nicht mehr repliziert.
Auf den Haupt-DCs gibt es zwar einen Eintrag problemstandort.firma.de, aber dort befinden sich nur die Einträge für den DC, also keine Einträge für _msdcs, _sites, _tcp, _udp und DomainDNSZones.
Auf dem DC in dem Standort sind aber die entsprechenden Einträge noch vorhanden.
Gibt es eine Möglichkeit, die Replikation und damit die Einträge wieder hin zu bekommen?
Ich habe schon versucht, die DNS-Dienste auf den entsprechenden DCs neu zu starten.
Im DNS-Server Ereignisprotokoll auf den DCs tauchen keine Fehlermeldungen auf.
In den Zonen sind die DCs als Nameserver eingetragen, die Zonen sind Active-Directory integriert.
Vielen Dank im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 95911
Url: https://administrator.de/contentid/95911
Printed on: April 20, 2024 at 07:04 o'clock
1 Comment
Ich hoffe ich habe das richtig verstanden. du hast folgende Umgebung:
firma.de (stammdomäne, mehrere DC, vermutlich davon mehrere DNS-Server)
|-standort1.firma.de (mehrere DC, vermutlich die meisten DNS-Server)
|-standort2.firma.de (mehrere DC, vermutlich die meisten DNS-Server)
Alle Zonen wurden mit dem Bereich "Alle DNS-Server der AD-Struktur" konfiguriert.
In der Stammdomäne existieren Delegierungen für die untergeordneten Domänen.
Nun hast du beobachtet, das Änderungen in der Zone standort1.firma.de nicht mehr auf DNS-Server in der Domäne firma.de und standort2.firma.de repliziert werden.
Die Replikation der Zone standort2.firma.de funktioniert aber noch nach firma.de.
nun meine Fragen:
Wird die Zone standort2.domäne.de noch nach standort1.domäne.de repliziert? Vermutlich nicht.
Was sagen die Eventlogs? stehen da einträge vom KCC das einige DC's nicht erreicht werden konnten?
Benötigst du wirklich alle DNS-Zonen an allen Standorten? Es währe sinnvoller am Hauptstandort nur delegierungen auf die DNS-Server für die untergeordneten Domänen zu setzen. Den Rest erledigt der Cache. Die Stammdomäne sollte nur einige wenige sehr wichtige Server enthalten. Bei dieser Konfiguration ändert sich nur sehr wenig und minimiert den Replikationstraffic.
Sollte deine Stammdomäne auch andere Objekte enthalten, kannst du trotzdem alles geradebiegen, indem du die _msdcs.firma.de auf alle DNS-Server die Zone firma.de aber nur am Hauptstandort replizierst. An den Remotestandorten hast du dann schonmal die _msdcs.firma.de. Als nächstes kannst du an jedem Standort eine Stub-Zone für firma.de einrichten. Wenn du eine private tld (zb. firma.lan oder firma.local ...) verwendest, bietet es sich auch an, eine neue GS-weite Zone mit dem namen der TLD einzurichten und eine delegierung für firma.tld einzutragen. Damit kannst du sicherstellen, das immer die DNS-Server am Hauptsitz für abfragen an anderen Standorten verwendet werden. Hier sollten hohe TTL-Werte verwendet werden, um den Cache zu nutzen.
Naja, ich könnte jetzt hier noch 300 Zeilen schreiben ...
Dein Problem ist, das die DNS-Server am Hauptsitz bei fehlenden locator-einträgen für die domäne standort2.firma.de nicht mehr replizieren können. Du musst erst sicherstellen das die Auflösung von allen Standorten funktioniert. du kannst das notdürftig reparieren, indem du auf einem DC am Problemstandort einen DNS-Server am Hauptsitz als primären DNS-Server konfigurierst und den befehl "netdiag /fix" ausführst. Dieser erstellt die locator-einträge neu.
Aber wie gesagt, die Schwachstelle ist das DNS-Design. Du hast immer das Risiko, das bei Problemen mit der standortübergreifenden AD-Replikation das DNS inkonsistent wird. Innerhalb eines standortes kann das zwar auch passieren, ist aber wesentlich unwarscheinlicher und einfacher zu beheben.
Die fehlermeldungen sollten eigentlich auch von den Tools dcdiag und netdiag ausgegeben werden. Hast du das schonmal laufen lassen?
Sobald deine locator-einträge an beiden Standorten vorhanden sind, starte das Tool "replmon", füge den bridgehead am haupt und remotestandort hinzu und erzwinge eine Replikation. Nun sollte es wieder funktionieren. Manchmal ist ein neustart des KCC Dienstes erforderlich, damit dieser die AD-Verbindungen neu erstellt. Je nachdem wie lange das Problem bestand.
firma.de (stammdomäne, mehrere DC, vermutlich davon mehrere DNS-Server)
|-standort1.firma.de (mehrere DC, vermutlich die meisten DNS-Server)
|-standort2.firma.de (mehrere DC, vermutlich die meisten DNS-Server)
Alle Zonen wurden mit dem Bereich "Alle DNS-Server der AD-Struktur" konfiguriert.
In der Stammdomäne existieren Delegierungen für die untergeordneten Domänen.
Nun hast du beobachtet, das Änderungen in der Zone standort1.firma.de nicht mehr auf DNS-Server in der Domäne firma.de und standort2.firma.de repliziert werden.
Die Replikation der Zone standort2.firma.de funktioniert aber noch nach firma.de.
nun meine Fragen:
Wird die Zone standort2.domäne.de noch nach standort1.domäne.de repliziert? Vermutlich nicht.
Was sagen die Eventlogs? stehen da einträge vom KCC das einige DC's nicht erreicht werden konnten?
Benötigst du wirklich alle DNS-Zonen an allen Standorten? Es währe sinnvoller am Hauptstandort nur delegierungen auf die DNS-Server für die untergeordneten Domänen zu setzen. Den Rest erledigt der Cache. Die Stammdomäne sollte nur einige wenige sehr wichtige Server enthalten. Bei dieser Konfiguration ändert sich nur sehr wenig und minimiert den Replikationstraffic.
Sollte deine Stammdomäne auch andere Objekte enthalten, kannst du trotzdem alles geradebiegen, indem du die _msdcs.firma.de auf alle DNS-Server die Zone firma.de aber nur am Hauptstandort replizierst. An den Remotestandorten hast du dann schonmal die _msdcs.firma.de. Als nächstes kannst du an jedem Standort eine Stub-Zone für firma.de einrichten. Wenn du eine private tld (zb. firma.lan oder firma.local ...) verwendest, bietet es sich auch an, eine neue GS-weite Zone mit dem namen der TLD einzurichten und eine delegierung für firma.tld einzutragen. Damit kannst du sicherstellen, das immer die DNS-Server am Hauptsitz für abfragen an anderen Standorten verwendet werden. Hier sollten hohe TTL-Werte verwendet werden, um den Cache zu nutzen.
Naja, ich könnte jetzt hier noch 300 Zeilen schreiben ...
Dein Problem ist, das die DNS-Server am Hauptsitz bei fehlenden locator-einträgen für die domäne standort2.firma.de nicht mehr replizieren können. Du musst erst sicherstellen das die Auflösung von allen Standorten funktioniert. du kannst das notdürftig reparieren, indem du auf einem DC am Problemstandort einen DNS-Server am Hauptsitz als primären DNS-Server konfigurierst und den befehl "netdiag /fix" ausführst. Dieser erstellt die locator-einträge neu.
Aber wie gesagt, die Schwachstelle ist das DNS-Design. Du hast immer das Risiko, das bei Problemen mit der standortübergreifenden AD-Replikation das DNS inkonsistent wird. Innerhalb eines standortes kann das zwar auch passieren, ist aber wesentlich unwarscheinlicher und einfacher zu beheben.
Die fehlermeldungen sollten eigentlich auch von den Tools dcdiag und netdiag ausgegeben werden. Hast du das schonmal laufen lassen?
Sobald deine locator-einträge an beiden Standorten vorhanden sind, starte das Tool "replmon", füge den bridgehead am haupt und remotestandort hinzu und erzwinge eine Replikation. Nun sollte es wieder funktionieren. Manchmal ist ein neustart des KCC Dienstes erforderlich, damit dieser die AD-Verbindungen neu erstellt. Je nachdem wie lange das Problem bestand.
