Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Der perfekte 2. Domänencontroller in einer ActiveDirectory2003-Umgebung?

Mitglied: AdminKnecht

AdminKnecht (Level 1) - Jetzt verbinden

25.07.2008, aktualisiert 17.10.2012, 6471 Aufrufe, 7 Kommentare

wer hat ihn, wer kennt ihn, und wenn ja, warum nicht? ))

Hallo Kollegen,

stehe hier vor der Aufgabe, eine alte NT4-Domäne nach 2003 mit AD zu migrieren, habe mir einiges angelesen und teste z.Zt. in VMWare, soweit ganz gut, der 1.2003er-DC läuft nun stabil mit DNS (klaro!) und WINS und DHCP!
Einfach nur 1 Domäne in 1 Gesamtstruktur an 1 Standort (herrlich, quasi Laborbedingungen

Habe auch schon mal eine längere Frage hier https://www.administrator.de/forum/aufsetzen-eines-weiteren-dcs-in-einem ... eingestellt, die Antwort von datasearch war auch hilfreich, so weit, so gut!

JETZT habe ich einen weiteren 2003-Server als "Backup-DC" für den Fall aufgesetzt, das der 1.DC absemmelt..

Also W3K installiert, dann SP1 drüber, LiveUpdates, SupportTools etc.pp., feste IP mit DNS+WINS zum 1.DC...

Dann erst mal angefangen mit WINS am neuen DC, Replikation eingerichtet, am DC1 auch, passt!
Damit auch alle vom neuen WINS wissen, im DHCP am 1.DC bei den Bereichsoptionen den 2.WINS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.

Dann auf dem neuen DC einen DHCP-Server eingerichtet (den zweiten in der Domäne!!!), mit natürlichen unterschiedlichem IP-Bereich , auch gleich im AD autorisiert (sonst startet er erst gar nicht!), passt! Testweise mal den DHCP am DC1 deaktiviert, nach Ablauf seiner Leasezeit nimmt sich ein Client statt vom DC1 nun eine IP aus dem Pool vom DC2 (also DHCP2)

So, dananch immer noch kein dcpromo ausgeführt sondern erst noch den DNS-Server installiert (dieser Schritt wurde mehrfach irgendwo empfohlen), dann bei der Einrichtung des DNS-Servers eine "primäre Zone" erstellt (AD-integriert), als Zonennamen firma.ads eingetragen (die auch schon am DNS auf DC1 existiert), und prompt kam die MEldung "Zone kann nicht erstellt werden... existiert schon..." --- 2x versucht, dann abgebrochen, und siehe da, beide Zonen (forward+reverse) waren plötzlich aufgelistet, inkl. der _msdcs-Zone...! (weil die Replikation bei AD-integrierten-Zonen halt über das AD läuft

Damit auch alle vom neuen DNS wissen, im DHCP am 1.DC+2.DC bei den Bereichsoptionen den 2.DNS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.

Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs

Dann endlich dcpromo ausgeführt und einen weiteren DC in der Domäne firma.com erstellt, und nicht vergessen, den GlobalCatalog auch an diesem DC zur Verfügung zu stellen!

So, ich habe jetzt:


DC1:
IP manuell: 172.17.1.1
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99

DC2:
IP manuell: 172.17.1.2
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99

ClientW2K:
IP per DHCP: 172.17.200.1 (vom DHCP2 am DC2 geholt)
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99

ClientXP:
IP per DHCP: 172.17.100.1 (vom DHCP1 am DC1 geholt)
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99

Alles wunderbar, der W2K-Client löst nslookup-Anfragen ohne Fehlermeldung über den 172.17.1.1 auf, der XP über die 172.17.1.2, also alles so, wie auch in der Reihenfolge bei den IP-Settings vorgesehen, und bei den DCs gehts wechselseitig über den jeweils anderen!

Ein Ping auf firma.ads ging übrigens erfolgreich an die 172.17.1.1, da ja am DC1 auch die 5 Betriebsmaster "sitzen"!

DANN mal den Gau simuliert, in dem der DC1 abgeschaltet wurde!


Am Client W2K, der ja bisher über den DC1 auflöste, kommt es bei nslookup nun zu einer kurzen Verzögerung mit MEldungm das der 172.17.1.1 nicht gefunden wurde, und das der Standardserver nun der 172.17.1.2 ist, Abfragen werden korrekt aufgelöst! ----juchhu---! Hier und an den anderen Clients geht auch alles andere (Domänenanmeldung, pings etc.) wie gewohnt, nur halt über den DC2 .....!

Ein Ping auf firma.ads ging nun immer noch an die 172.17.1.1, allerdings erfolglos (da ja am DC1 auch die 5 Betriebsmaster "sitzen"?)

Was ich jetzt nicht verstehe (endlich kommt er zum Punkt )))))))))))):

Am verbliebenen DC, dem DC2, der ja bisher immer nslookup-Anfragen über den DC1 (172.17.1.1) auflöste, kommt jetzt die Meldung, das er den Server 172.17.1.1 nicht mehr finden konnte (ach???) und als Standardserver nun "unknown" nimmt, dementsprechend fallen die nslookup-Anfragen auch aus, nämlich negativ!!!
Laut IP-Settings soll er doch nach dem 1.DNS an 172.16.1.1 nun den 2.DNS an 172.16.1.2 nehmen, also sich selber, warum macht er das nicht?

Wenn mir darauf jemand eine schlaue Antwort geben könnte, wäre ich fat soweit, mal darau ein kleines Tutorial zum Thema basteln zu können ))

Schönes Wochenende

AdminKnecht
Mitglied: sysad
25.07.2008 um 13:30 Uhr
Und was genau war die Frage? Fehlt in Deinem Post unten noch was?
Bitte warten ..
Mitglied: 60730
25.07.2008 um 13:42 Uhr
Servus,

ich habe ein größeres Problem mit der Vorgehensweise, die du als Insel Problem bezeichnest.
Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs face-wink

Dazu gebe ich dir (jedem interessierten) mal ein "Worst Case Szenario vor:

  • DC2 hat DC1 als primären DNS und umgekehrt...
  1. meldet sich nun Client x an DC1 an, schreibt DC1 den DNS Eintrag von Client X zum DC2.
  2. DC2 erkennt, daß eine Änderung der DNS DB erfolgt ist und gleicht mit DC1 ab.
  3. Ergo - ein zusätzlicher Traffic (Schritt 1), der (in meinen Augen) nicht sein muß.

  • Kachelt DC1 oder DC2 nun ab, "hagelt es" Fehlermeldungen.
  1. Und zwar deutlich mehr, als die beim booten des / der DCs (der ja eigentlich nur eine Woche später als der Patchday geschehen sollte) auftreten.
  2. Ergo- um eine Fehlermeldung pro DC zu umgehen, erzeugst du Traffic, der wiederum (extrem Worstcase) dazu beitragen "könnte", daß einer der DNS Dienste aus dem Tritt kommt....

  • Und damit hast du - im Falle, daß viele Standorte benutzt werden, ein echtes Problem geschaffen.

Mag sein, daß dein Weg der mittlerweile von MS propagierte ist, als ich es "gelernt" habe, wurde es anders geschult.
(Jeder DNS Server ist sein eigener Client)

Gruß

edit:/Formatierung
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 13:46 Uhr
...ahh, ich vermute, du hat den Beitrag schon während der Erstellung gelesen ))) ?

Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!

Grüße

AdminKnecht
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 13:51 Uhr
Servus Servus )

ich kann deine Argumentation ganz klar nachvollziehen, finde es auch gut, das man mal Denkanstöße in "andere" Richtungen bekommt, prima Forum hier!

Der erhöte Traffic sollte aber keinen nachteiligen Effekt haben da zumindest hier bei uns nur 1 Standort mit 1 Domäne betrieben wird.

In größeren Szenarien sollte man sich richtigerweise diese Argumente im Hinterkopf behalten, vielen Dank!

Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen? Sollte man ggfs. das Standardgateway 1.99 bei den beiden DCs als sek.DNS eintragen?

Grüße

AdminKnecht
Bitte warten ..
Mitglied: 60730
25.07.2008 um 13:52 Uhr
Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!

Weil du (d)ein "Insel" Problem erschaffen hast
Siehe "Worst Case Szenario"

Gruß

edit:
Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen?
Doch, habe ich doch (zumindestens) versucht.

Bis der DNS Dienst "merkt", daß DC1 mal "länger" nicht erreichbar ist, greift er sich nicht den 2. (sich selber) DNS Server.
/edit
Bitte warten ..
Mitglied: VW
25.07.2008 um 13:57 Uhr
Moin,

(Jeder DNS Server ist sein eigener Client)
So habe ich es vor ca. 2,5 Monaten auch in einer Schulung beigebracht gekriegt, damit der Server, der noch am leben ist, auch im Falle eines Ausfalls des jeweils anderen weiterhin DNS-Namen auflösen kann, ohne Verzögerungen oder Fehler zu verursachen.

VW
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 14:14 Uhr
hab es gerade mal getestet, jeweils die eigene IP als pri.DNS bei den DCs eingetragen, so funktioniert es!!

Spitze, wieder was gelernt, euch allen DANKE udn ein schönes Wochenende!!!

AdminKnecht
Bitte warten ..
Ähnliche Inhalte
Exchange Server

Exchange 2016 in Hyper-V Umgebung auf Domänencontroller

gelöst Frage von Frank1993Exchange Server13 Kommentare

Hallo, ich würde gerne Exchange 2016 in einer Hyper-V Umgebung auf einem Domänencontroller zu installieren. Technisch geht das ja, ...

Netzwerke

Planung neue (perfekte) Netzwerkhardware

Frage von andy-9Netzwerke15 Kommentare

Servus zusammen, da ich dieses Jahr endlich von 2.000er DSL auf min. 30.000er DSL hochgestuft werden soll, nehme ich ...

Windows Server

Domänencontroller entsorgen

gelöst Frage von JuckieWindows Server3 Kommentare

Hallo an alle, ich habe vor rund 6 Wochen einen Domänencontroller (Windows Server 2003 R2) per DCPromo ohne Fehlermeldungen ...

Windows Userverwaltung

Domänencontroller in der Cloud

Frage von thorstenhessenWindows Userverwaltung5 Kommentare

Hallo Administratoren, etwas vorweg, ich habe technisch nicht viel Ahnung, ich bin kein ITler. ;-) Ich hoffe die Frage ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 9 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 15 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 19 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...