7
Der perfekte 2. Domänencontroller in einer ActiveDirectory2003-Umgebung?
wer hat ihn, wer kennt ihn, und wenn ja, warum nicht? 
))
Hallo Kollegen,
stehe hier vor der Aufgabe, eine alte NT4-Domäne nach 2003 mit AD zu migrieren, habe mir einiges angelesen und teste z.Zt. in VMWare, soweit ganz gut, der 1.2003er-DC läuft nun stabil mit DNS (klaro!) und WINS und DHCP!
Einfach nur 1 Domäne in 1 Gesamtstruktur an 1 Standort (herrlich, quasi Laborbedingungen
Habe auch schon mal eine längere Frage hier Aufsetzen eines weiteren DCs in einem AD unter 2003, inkl. WINS, DNS, DHCP eingestellt, die Antwort von datasearch war auch hilfreich, so weit, so gut!
JETZT habe ich einen weiteren 2003-Server als "Backup-DC" für den Fall aufgesetzt, das der 1.DC absemmelt..
Also W3K installiert, dann SP1 drüber, LiveUpdates, SupportTools etc.pp., feste IP mit DNS+WINS zum 1.DC...
Dann erst mal angefangen mit WINS am neuen DC, Replikation eingerichtet, am DC1 auch, passt!
Damit auch alle vom neuen WINS wissen, im DHCP am 1.DC bei den Bereichsoptionen den 2.WINS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.
Dann auf dem neuen DC einen DHCP-Server eingerichtet (den zweiten in der Domäne!!!), mit natürlichen unterschiedlichem IP-Bereich , auch gleich im AD autorisiert (sonst startet er erst gar nicht!), passt! Testweise mal den DHCP am DC1 deaktiviert, nach Ablauf seiner Leasezeit nimmt sich ein Client statt vom DC1 nun eine IP aus dem Pool vom DC2 (also DHCP2)
So, dananch immer noch kein dcpromo ausgeführt sondern erst noch den DNS-Server installiert (dieser Schritt wurde mehrfach irgendwo empfohlen), dann bei der Einrichtung des DNS-Servers eine "primäre Zone" erstellt (AD-integriert), als Zonennamen firma.ads eingetragen (die auch schon am DNS auf DC1 existiert), und prompt kam die MEldung "Zone kann nicht erstellt werden... existiert schon..." --- 2x versucht, dann abgebrochen, und siehe da, beide Zonen (forward+reverse) waren plötzlich aufgelistet, inkl. der _msdcs-Zone...! (weil die Replikation bei AD-integrierten-Zonen halt über das AD läuft
Damit auch alle vom neuen DNS wissen, im DHCP am 1.DC+2.DC bei den Bereichsoptionen den 2.DNS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.
Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs
Dann endlich dcpromo ausgeführt und einen weiteren DC in der Domäne firma.com erstellt, und nicht vergessen, den GlobalCatalog auch an diesem DC zur Verfügung zu stellen!
So, ich habe jetzt:
DC1:
IP manuell: 172.17.1.1
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99
DC2:
IP manuell: 172.17.1.2
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99
ClientW2K:
IP per DHCP: 172.17.200.1 (vom DHCP2 am DC2 geholt)
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99
ClientXP:
IP per DHCP: 172.17.100.1 (vom DHCP1 am DC1 geholt)
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99
Alles wunderbar, der W2K-Client löst nslookup-Anfragen ohne Fehlermeldung über den 172.17.1.1 auf, der XP über die 172.17.1.2, also alles so, wie auch in der Reihenfolge bei den IP-Settings vorgesehen, und bei den DCs gehts wechselseitig über den jeweils anderen!
Ein Ping auf firma.ads ging übrigens erfolgreich an die 172.17.1.1, da ja am DC1 auch die 5 Betriebsmaster "sitzen"!
DANN mal den Gau simuliert, in dem der DC1 abgeschaltet wurde!
Am Client W2K, der ja bisher über den DC1 auflöste, kommt es bei nslookup nun zu einer kurzen Verzögerung mit MEldungm das der 172.17.1.1 nicht gefunden wurde, und das der Standardserver nun der 172.17.1.2 ist, Abfragen werden korrekt aufgelöst! ----juchhu---! Hier und an den anderen Clients geht auch alles andere (Domänenanmeldung, pings etc.) wie gewohnt, nur halt über den DC2 .....!
Ein Ping auf firma.ads ging nun immer noch an die 172.17.1.1, allerdings erfolglos (da ja am DC1 auch die 5 Betriebsmaster "sitzen"?)
Was ich jetzt nicht verstehe (endlich kommt er zum Punkt)))))))))))):
Am verbliebenen DC, dem DC2, der ja bisher immer nslookup-Anfragen über den DC1 (172.17.1.1) auflöste, kommt jetzt die Meldung, das er den Server 172.17.1.1 nicht mehr finden konnte (ach???) und als Standardserver nun "unknown" nimmt, dementsprechend fallen die nslookup-Anfragen auch aus, nämlich negativ!!!
Laut IP-Settings soll er doch nach dem 1.DNS an 172.16.1.1 nun den 2.DNS an 172.16.1.2 nehmen, also sich selber, warum macht er das nicht?
Wenn mir darauf jemand eine schlaue Antwort geben könnte, wäre ich fat soweit, mal darau ein kleines Tutorial zum Thema basteln zu können))
Schönes Wochenende
AdminKnecht
stehe hier vor der Aufgabe, eine alte NT4-Domäne nach 2003 mit AD zu migrieren, habe mir einiges angelesen und teste z.Zt. in VMWare, soweit ganz gut, der 1.2003er-DC läuft nun stabil mit DNS (klaro!) und WINS und DHCP!
Einfach nur 1 Domäne in 1 Gesamtstruktur an 1 Standort (herrlich, quasi Laborbedingungen
Habe auch schon mal eine längere Frage hier Aufsetzen eines weiteren DCs in einem AD unter 2003, inkl. WINS, DNS, DHCP eingestellt, die Antwort von datasearch war auch hilfreich, so weit, so gut!
JETZT habe ich einen weiteren 2003-Server als "Backup-DC" für den Fall aufgesetzt, das der 1.DC absemmelt..
Also W3K installiert, dann SP1 drüber, LiveUpdates, SupportTools etc.pp., feste IP mit DNS+WINS zum 1.DC...
Dann erst mal angefangen mit WINS am neuen DC, Replikation eingerichtet, am DC1 auch, passt!
Damit auch alle vom neuen WINS wissen, im DHCP am 1.DC bei den Bereichsoptionen den 2.WINS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.
Dann auf dem neuen DC einen DHCP-Server eingerichtet (den zweiten in der Domäne!!!), mit natürlichen unterschiedlichem IP-Bereich , auch gleich im AD autorisiert (sonst startet er erst gar nicht!), passt! Testweise mal den DHCP am DC1 deaktiviert, nach Ablauf seiner Leasezeit nimmt sich ein Client statt vom DC1 nun eine IP aus dem Pool vom DC2 (also DHCP2)
So, dananch immer noch kein dcpromo ausgeführt sondern erst noch den DNS-Server installiert (dieser Schritt wurde mehrfach irgendwo empfohlen), dann bei der Einrichtung des DNS-Servers eine "primäre Zone" erstellt (AD-integriert), als Zonennamen firma.ads eingetragen (die auch schon am DNS auf DC1 existiert), und prompt kam die MEldung "Zone kann nicht erstellt werden... existiert schon..." --- 2x versucht, dann abgebrochen, und siehe da, beide Zonen (forward+reverse) waren plötzlich aufgelistet, inkl. der _msdcs-Zone...! (weil die Replikation bei AD-integrierten-Zonen halt über das AD läuft
Damit auch alle vom neuen DNS wissen, im DHCP am 1.DC+2.DC bei den Bereichsoptionen den 2.DNS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.
Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs
Dann endlich dcpromo ausgeführt und einen weiteren DC in der Domäne firma.com erstellt, und nicht vergessen, den GlobalCatalog auch an diesem DC zur Verfügung zu stellen!
So, ich habe jetzt:
DC1:
IP manuell: 172.17.1.1
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99
DC2:
IP manuell: 172.17.1.2
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99
ClientW2K:
IP per DHCP: 172.17.200.1 (vom DHCP2 am DC2 geholt)
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99
ClientXP:
IP per DHCP: 172.17.100.1 (vom DHCP1 am DC1 geholt)
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99
Alles wunderbar, der W2K-Client löst nslookup-Anfragen ohne Fehlermeldung über den 172.17.1.1 auf, der XP über die 172.17.1.2, also alles so, wie auch in der Reihenfolge bei den IP-Settings vorgesehen, und bei den DCs gehts wechselseitig über den jeweils anderen!
Ein Ping auf firma.ads ging übrigens erfolgreich an die 172.17.1.1, da ja am DC1 auch die 5 Betriebsmaster "sitzen"!
DANN mal den Gau simuliert, in dem der DC1 abgeschaltet wurde!
Am Client W2K, der ja bisher über den DC1 auflöste, kommt es bei nslookup nun zu einer kurzen Verzögerung mit MEldungm das der 172.17.1.1 nicht gefunden wurde, und das der Standardserver nun der 172.17.1.2 ist, Abfragen werden korrekt aufgelöst! ----juchhu---! Hier und an den anderen Clients geht auch alles andere (Domänenanmeldung, pings etc.) wie gewohnt, nur halt über den DC2 .....!
Ein Ping auf firma.ads ging nun immer noch an die 172.17.1.1, allerdings erfolglos (da ja am DC1 auch die 5 Betriebsmaster "sitzen"?)
Was ich jetzt nicht verstehe (endlich kommt er zum Punkt
)))))))))))):Am verbliebenen DC, dem DC2, der ja bisher immer nslookup-Anfragen über den DC1 (172.17.1.1) auflöste, kommt jetzt die Meldung, das er den Server 172.17.1.1 nicht mehr finden konnte (ach???) und als Standardserver nun "unknown" nimmt, dementsprechend fallen die nslookup-Anfragen auch aus, nämlich negativ!!!
Laut IP-Settings soll er doch nach dem 1.DNS an 172.16.1.1 nun den 2.DNS an 172.16.1.2 nehmen, also sich selber, warum macht er das nicht?
Wenn mir darauf jemand eine schlaue Antwort geben könnte, wäre ich fat soweit, mal darau ein kleines Tutorial zum Thema basteln zu können
))Schönes Wochenende
AdminKnecht
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 92914
Url: https://administrator.de/contentid/92914
Printed on: April 19, 2024 at 23:04 o'clock
7 Comments
Latest comment
Und was genau war die Frage? Fehlt in Deinem Post unten noch was?
Servus,
ich habe ein größeres Problem mit der Vorgehensweise, die du als Insel Problem bezeichnest.
Dazu gebe ich dir (jedem interessierten) mal ein "Worst Case Szenario vor:
Mag sein, daß dein Weg der mittlerweile von MS propagierte ist, als ich es "gelernt" habe, wurde es anders geschult.
(Jeder DNS Server ist sein eigener Client)
Gruß
edit:/Formatierung
ich habe ein größeres Problem mit der Vorgehensweise, die du als Insel Problem bezeichnest.
Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs face-wink
Dazu gebe ich dir (jedem interessierten) mal ein "Worst Case Szenario vor:
- DC2 hat DC1 als primären DNS und umgekehrt...
- meldet sich nun Client x an DC1 an, schreibt DC1 den DNS Eintrag von Client X zum DC2.
- DC2 erkennt, daß eine Änderung der DNS DB erfolgt ist und gleicht mit DC1 ab.
- Ergo - ein zusätzlicher Traffic (Schritt 1), der (in meinen Augen) nicht sein muß.
- Kachelt DC1 oder DC2 nun ab, "hagelt es" Fehlermeldungen.
- Und zwar deutlich mehr, als die beim booten des / der DCs (der ja eigentlich nur eine Woche später als der Patchday geschehen sollte) auftreten.
- Ergo- um eine Fehlermeldung pro DC zu umgehen, erzeugst du Traffic, der wiederum (extrem Worstcase) dazu beitragen "könnte", daß einer der DNS Dienste aus dem Tritt kommt....
- Und damit hast du - im Falle, daß viele Standorte benutzt werden, ein echtes Problem geschaffen.
Mag sein, daß dein Weg der mittlerweile von MS propagierte ist, als ich es "gelernt" habe, wurde es anders geschult.
(Jeder DNS Server ist sein eigener Client)
Gruß
edit:/Formatierung
...ahh, ich vermute, du hat den Beitrag schon während der Erstellung gelesen ))) ?
Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!
Grüße
AdminKnecht
))) ?Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!
Grüße
AdminKnecht
Servus Servus )
ich kann deine Argumentation ganz klar nachvollziehen, finde es auch gut, das man mal Denkanstöße in "andere" Richtungen bekommt, prima Forum hier!
Der erhöte Traffic sollte aber keinen nachteiligen Effekt haben da zumindest hier bei uns nur 1 Standort mit 1 Domäne betrieben wird.
In größeren Szenarien sollte man sich richtigerweise diese Argumente im Hinterkopf behalten, vielen Dank!
Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen? Sollte man ggfs. das Standardgateway 1.99 bei den beiden DCs als sek.DNS eintragen?
Grüße
AdminKnecht
)ich kann deine Argumentation ganz klar nachvollziehen, finde es auch gut, das man mal Denkanstöße in "andere" Richtungen bekommt, prima Forum hier!
Der erhöte Traffic sollte aber keinen nachteiligen Effekt haben da zumindest hier bei uns nur 1 Standort mit 1 Domäne betrieben wird.
In größeren Szenarien sollte man sich richtigerweise diese Argumente im Hinterkopf behalten, vielen Dank!
Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen? Sollte man ggfs. das Standardgateway 1.99 bei den beiden DCs als sek.DNS eintragen?
Grüße
AdminKnecht
Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!
Weil du (d)ein "Insel" Problem erschaffen hast
Siehe "Worst Case Szenario"
Gruß
edit:
Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen?
Doch, habe ich doch (zumindestens) versucht.Bis der DNS Dienst "merkt", daß DC1 mal "länger" nicht erreichbar ist, greift er sich nicht den 2. (sich selber) DNS Server.
/edit
Moin,
VW
(Jeder DNS Server ist sein eigener Client)
So habe ich es vor ca. 2,5 Monaten auch in einer Schulung beigebracht gekriegt, damit der Server, der noch am leben ist, auch im Falle eines Ausfalls des jeweils anderen weiterhin DNS-Namen auflösen kann, ohne Verzögerungen oder Fehler zu verursachen.VW
hab es gerade mal getestet, jeweils die eigene IP als pri.DNS bei den DCs eingetragen, so funktioniert es!!
Spitze, wieder was gelernt, euch allen DANKE udn ein schönes Wochenende!!!
AdminKnecht
Spitze, wieder was gelernt, euch allen DANKE udn ein schönes Wochenende!!!
AdminKnecht
