adminknecht
Goto Top

Aufsetzen eines weiteren DCs in einem AD unter 2003, inkl. WINS, DNS, DHCP

Migration einer NT4-Domäne nach AD2003 hat funktioniert, nun brauche ich einen weiteren DC....

Folgendes:

In einer Testumgebung (es lebe VMWare!) eine NT4-Domäne gebaut, 1 PDC und 2 BDCs, dazu einige W2K und XP-Clients und einen einfachen W2K-Memberserver, Zugriffe getestet, replizieren lassen, alles OK

Nun nach den üblichen Anleitungen im Internet (bzw. dem Studium des Buches "Migration von Windows NT 4.0 auf Windows Server 2003" [Microsoft Press]) einen BDC für ein evtl. nötiges Recovery vom Netz genommen, den PDC auf Server2003 mit Namen "ServerA" aktualisiert, SP2 drüber, per "dcpromo" das AD installiert und dabei eine neue Gesamtstruktur inkl. Domäne namens firma.ads erstellen lassen, dazu auch gleich einen DNS-Server

Nach Abschluß und Reboot im DNS-Server noch die Forward-Lookup-Zone geprüft, war bereits AD-integriert, die Weiterleitung für "Alle anderen DNS-Domänen" zeigte auf das Gateway 172.17.1.99 (DSL-Router mit Provider-Daten), "Alterung und Aufräumen", wie empfohlen, auch eingerichtet (jeweils 7 Tage)
Dazu noch eine Reverse-Lookup-Zone erstellt namens "172.17.x.x Subnet", auch AD-integriert, so kamen jetzt bei nslookup-Abfragen auch keine Fehlermeldungen mehr face-wink und die Clients werden auch automatisch dort eingetragen

Um das Ganze zu komplettieren, am selben Server noch einen WINS-Server (ist ja immer noch empfohlen) und einen DHCP-Server aufgesetzt (ja, der DHCP-Dienst wurde auch ordnungsgemäß im AD autorisiert!), von dem die Clients ihre IP + IP-Settings beziehen sollen (u.a. die WINS-IP, DNS-IP, Standard-Gateway etc.)

Mir ist auch klar, dass nun alle 5 Betriebsmasterrollen am ServerA "kleben"...

Dann mit diversen Tools (z.T. aus den SupportTools) das AD getestet (dcdiag, nltest), keine Fehler, alles klappt wunderbar, ich habe also nun:

ServerA: IP manuell: 172.17.1.1 WINS + DNS dieselbe IP Std.Gateway 172.17.1.99
MemberSrv: IP manuell: 172.17.1.13 WINS + DNS 172.17.1.1 Std.Gateway 172.17.1.99
ClientXP1: IP DHCP 172.17.100.1 WINS + DNS 172.17.1.1 Std.Gateway 172.17.1.99
ClientXP2: IP DHCP 172.17.100.2 WINS + DNS 172.17.1.1 Std.Gateway 172.17.1.99
ClientW2K: IP DHCP 172.17.100.3 WINS + DNS 172.17.1.1 Std.Gateway 172.17.1.99
usw.

Nun sollte man ja nicht allzulange mit nur einem DC arbeiten, MS empfiehlt ja mindestens 2DCs pro Domäne face-wink)))))))

D.h. natürlich, das auch Dienste wie DNS, WINS und DHCP am weiteren DC verfügbar sein müssen (für den Ernstfall), damit fingen die Probleme dann an....

• wie konfigueriere ich den DNS am ServerB? Das auch der GC dort aktiviert sein muss, ist klar, aber trage ich die DNS-IPs mit dem ServerA "überkreuz" ein oder nicht? je nach dem kann ich dann nämlich bei Ausfall von ServerA entweder an den Clients oder am anderen DC (also ServerB) per nslookup nichts auflösen ("Server nicht gefunden")
• DNS-Zonenübertragung habe ich auch mal aktiviert, war das so OK?
• will ich am ServerB nach Ausfall von ServerA z.B. unter "AD-Domänen und Vertrauensstellungen" die Eigenschaften von firma.ads aufrufen, bekomme ich eine Fehlermeldung, das keine Verbindung zum "Emulator des folgenden primären Domänencontrollers hergestellt werden konnte: ServerA"
Das ist doch die Betriebsmasterrolle "PDC-Emulationsmaster", oder? Die ist ja auch fest auf dem ServerA hinterlegt, und nur dort, was aber, wenn ServerA mal (vorübergehend) ausfällt?

Gibt es irgendwo im Netz eine Checkliste, wie man SAUBER einen weiteren DC unter Server2003 aufsetzt, inkl. DNS, WINS, DHCP, und der dann im Bedarfsfall sofort für den ausgefallenen anderen DC einspringt?

Das kann doch nicht so kompliziert sein, das geht doch sicherlich anderswo auch..... <verzweifel>

Der arme AdminKnecht

Content-Key: 92653

Url: https://administrator.de/contentid/92653

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: datasearch
datasearch 22.07.2008 um 22:34:05 Uhr
Goto Top
Für deine erste Migration sieht das alles shconmal ganz vernünftig aus. Lass mich dir noch einige Tipps geben:

  1. DNS
    • Innerhalb des AD gibt es standardmäßig 2 Speicherorte für DNS-Domänen. Domain- und Forrest-DNS-Zones.
    • Die Partition DomainDNS-Zones wird innerhalb der Domäne repliziert
    • Die Partition ForrestDNS-Zones wird innerhalb aller Domänen repliziert
    • Die Replikation erfolgt automatisch über das AD (NTFRS) nach konfigurierten Zeitplan und Bandbreite (über AD-Standorte und Dienste)
    • Zonenübertragungen sind erforderlich, um DNS-Zonen an Server außerhalb des AD zu replizieren
  2. Rollen und Funktionen
    • der PDC-Emulator ist bevorzugter Server für Kennwortänderungen und emuliert zusätzlich einen NT4 PDC und ist primäre Zeitquelle in der Domäne. Fällt er aus, dauern Anmeldungen sehr lange, scheitern oder machen andere Probleme. Es gibt einen in jeder Domäne.
    • Der RID-Master vergibt Sicherheitskennungen. Erforderlich zum anlegen neuer Benutzerkonten und Gruppen. Sind weniger als 50% freie Sicherheitskennungen verfügbar, werden vom RID-Master neue generiert. Fällt er aus, können nach erschöpfen der freien Kennungen, keine neuen Objekte im AD erstellt werden. Es gibt einen in jeder Domäne.
    • Der Infrastrukturmaster kümmert sich um Objektverweise in anderen Domänen. Fällt dieser aus, können keine Domänenübergreifenden Objekte und Verknüpfungen mehr aktualisiert werden. Es gibt einen in jeder Domäne.
    • Der Domain Naming Master kümmert sich um das Hinzufügen und entfernen neuer Domänen im Forrest. Es gibt einen im Forrest.
    • Der SchemaMaster aktualisiert und pflegt das AD-Schema. Fällt dieser aus, sind keine Änderungen am Schema mehr möglich. Es gib einen im Forrest.
    • der GC enthält einen Index bestimmter Objekte innerhalb des AD. Zwingend zur Anmeldung erforderlich. Es sollte immer ein GC pro Standort geben. Fällt dieser aus, sind keine Abfragen nach Objekten und Objektabhängigkeiten im AD mehr möglich. Die Anmeldung scheitert für nicht Domänen-Admins.
    • Es sollte niemals ein Infrastrukturmaster und ein GC auf dem selben Server in einer Umgebung mit mehreren Domänen eingerichtet werden. macht man dies trotzdem, werden bestimmte Änderungen in einer Domäne nicht mehr in einer anderen im GC bekanntgegeben. Ist JEDER DC gleichzeitig auch GC, kann diese Regel ignoriert werden.
    • PDC und RID-Master sollten auf dem selben Server ausgeführt werden. Der RID-Master benötigt sehr oft zugriff auf den PDC.
    • Schema und DomainNaming Master sollten zusammen auf einem Server ausgeführt werden. Dieser Server sollte ebenfalls ein GC sein.
  3. Allgemeines
    • Es sollte immer 2 DNS-Server und 2 Domänencontroller an einem Standort geben.
    • Die DNS-Server sollten sich gegenseitig als DNS-Server verwenden. Kommt es einmal zu einem Neustart, booten die Server wesentlich schneller da DNS-Namen aufgelöst werden können.
    • Boote !!! niemals !!! beide DC´s gleichzeitig neu. alls erforderlich, immer Zeitversetzt.
    • Trenne dich so früh wie möglich von NetBT und WINS. Du kannst zwar nicht mehr in der Netzwerkumgebung nach Computern suchen, dein Netzwerk läuft aber deutlich zuverlässiger (WENN DNS FUNKTIONIERT!!!) und du hast weniger Problemquellen.


Zu deinen Fragen:
- Sind bestimmte Rollen nicht verfügbar, funktionieren auch bestimmte Admin-Werkzeuge nicht mehr
- Innerhalb des AD benötigt man keine Zonenübertragungen. Stattdessen wird die AD-Replikation verwendet
- Checklisten gibt es, allerdings sehr viele für sehr spezielle Tätigkeiten und Aufgaben. Selbst in der Windows-Hilfe findest du Prüflisten für verschiedene Schritte

Ich hoffe wirklich der Schreibaufwand hat sich gelohnt face-wink

[EDIT] Die Formatierung mit # Punkt funktioniert echt klasse face-wink [/EDIT]
Mitglied: AdminKnecht
AdminKnecht 24.07.2008 um 14:05:14 Uhr
Goto Top
Hallo datasearch!

Besten Dank für die Tipps, aber irgendwie bin ich nur ein *bisschen* schlauer als vorher face-wink

Innerhalb des AD gibt es standardmäßig 2 Speicherorte für DNS-Domänen. Domain- und Forrest-DNS-Zones.
Die Partition DomainDNS-Zones wird innerhalb der Domäne repliziert
Die Partition ForrestDNS-Zones wird innerhalb aller Domänen repliziert
Die Replikation erfolgt automatisch über das AD (NTFRS) nach konfigurierten Zeitplan und Bandbreite (über AD-Standorte und Dienste)

OK, ich habe hier nur EINE Domäne mit EINEM Standort, als irrelevant für mich?

Zonenübertragungen sind erforderlich, um DNS-Zonen an Server außerhalb des AD zu replizieren

Hast du auch im Absatz ganz unten nochmals betont, also ebenfalls uninteressant in meinem Fall?

der PDC-Emulator ist bevorzugter .............

Ist klar, es gibt nur einen pro Domäne, und zwar bei mir auf dem DC1, was aber wenn mal aufgrund eines HArdwaredefekts (Platencrashs etc.) der DC1 ausfällt und nur noch der DC2 zur Verfügung steht? Man kann doch FSMOs ÜBERTRAGEN (wenn der alte FSMO-Inhaber noch "läuft") oder auf die harte Tour ENTZIEHEN (wenn er eben nicht mehr läuft), nur dann darf er auch nie wieder ans Netz gehen, richtig?
Wie geht man geschickterweise vor, wenn der DC1 ausfällt? Solltem an die PDC-FSMO (und aich die anderen 4 FSMO) ENTZIEHEN udn einen neuen DC3 aufsetzten?


Es sollte immer 2 DNS-Server und 2 Domänencontroller an einem Standort geben.

DAS ist ja mein Anliegen, wie setze ich sauber einen DC2 auf, der bei Ausfall des DC1 (mit DNS, DHCP und WINS) sofort (also für die USer unmerklich) einspringt?

--> WINS: ISt unkritisch, man kann ja mehrere WINSe untereinander replizieren lassen, ist ja besser gelöst als unter NT4... face-wink
--> DHCP: Ist lt. MS / Technet / Literatur wohl ohne weiteres möglich, einen 2. DHSP im gleichen Subnetz zu fahren, man sollte nur einen anderen IP-Bereich festlegen und diesen zunächst NICHT für die Verwendung im AD autorisieren, erst dann, wenn der DC1 down ist...?!?!? ISt das so korrekt, bzw. die empfohlene Vorgehensweise?? Dann müsste man ja schon manuell einschreiten, falls DC1 down ist...?
--> DNS: Habe ich auch kapiert, das man das auf den DCs "über Kreuz" einträgt und an den Clients halt einen als sek.DNS einträgt. Muss man bei Ausfall des DC1 an den Clients irgendwie tätig werden??

Trenne dich so früh wie möglich von NetBT und WINS. Du kannst zwar nicht mehr in der Netzwerkumgebung nach Computern suchen, dein Netzwerk läuft aber deutlich zuverlässiger (WENN DNS FUNKTIONIERT!!!) und du hast weniger Problemquellen.

Hmm, überall liest man (Technet. Literatur), das WINS zur Stabilität einer W3K-Domäne mit AD beiträgt, da immer noch viele Komponenten davon Gebrauch machen, u.a. auch Exchange.... Was ist denn nun richtig???

Anleitungen und Checklisten zum Aufsetzen der einzelnen Dienste DNS, DHCP, WINS und das Starten von dcpromo auf einem 2.DC habe ich trotz intensiber Suche noch nicht gefunden, wichtig wäre die sinnvolle Reihenfolge der Installation und die Konfiguration der Dienste, damit sie sich mit ihren Pendants auf DC1 abgleichen und im Ernstfall seine Rolle einnehmen können!

Aber trotzdem erstmal vielen Dank für die guten Tipps, man wird jeden Tag etwas schlauer!!!
(Und ein Tag, an dem man dazugelernt hat, ist ein guter Tag!)

AdminKnecht