Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

AD - DNS Subzone wird nicht repliziert

Frage Microsoft Windows Server

Mitglied: silverj

silverj (Level 1) - Jetzt verbinden

02.09.2008, aktualisiert 03.09.2008, 7454 Aufrufe, 1 Kommentar

AD - DNS-Einträge für Subzone /-domain werden nicht mehr repliziert

Hallo,

ich habe folgendes Problem:
Die DNS-Replikation in meinem AD lief bis vor kurzen anscheinend problemlos. Allerdings werden jetzt von einer Sub-Domain die DNS-Einträge nicht mehr repliziert.

Das Setup:
Eine Hauptdomäne firma.de mit mehreren DCs.
Mehrere Subdomänen standort.firma.de mit 1-2 DCs.
Für einen Standord werden die DNS-Einträge nicht mehr in den Forward-Lookup-Zones aktualisiert, ebenso wird die Reverse-Lookup-Zone nicht mehr repliziert.

Auf den Haupt-DCs gibt es zwar einen Eintrag problemstandort.firma.de, aber dort befinden sich nur die Einträge für den DC, also keine Einträge für _msdcs, _sites, _tcp, _udp und DomainDNSZones.
Auf dem DC in dem Standort sind aber die entsprechenden Einträge noch vorhanden.

Gibt es eine Möglichkeit, die Replikation und damit die Einträge wieder hin zu bekommen?

Ich habe schon versucht, die DNS-Dienste auf den entsprechenden DCs neu zu starten.
Im DNS-Server Ereignisprotokoll auf den DCs tauchen keine Fehlermeldungen auf.
In den Zonen sind die DCs als Nameserver eingetragen, die Zonen sind Active-Directory integriert.

Vielen Dank im Voraus
Mitglied: datasearch
03.09.2008 um 00:00 Uhr
Ich hoffe ich habe das richtig verstanden. du hast folgende Umgebung:

firma.de (stammdomäne, mehrere DC, vermutlich davon mehrere DNS-Server)
|-standort1.firma.de (mehrere DC, vermutlich die meisten DNS-Server)
|-standort2.firma.de (mehrere DC, vermutlich die meisten DNS-Server)

Alle Zonen wurden mit dem Bereich "Alle DNS-Server der AD-Struktur" konfiguriert.
In der Stammdomäne existieren Delegierungen für die untergeordneten Domänen.

Nun hast du beobachtet, das Änderungen in der Zone standort1.firma.de nicht mehr auf DNS-Server in der Domäne firma.de und standort2.firma.de repliziert werden.
Die Replikation der Zone standort2.firma.de funktioniert aber noch nach firma.de.

nun meine Fragen:

Wird die Zone standort2.domäne.de noch nach standort1.domäne.de repliziert? Vermutlich nicht.
Was sagen die Eventlogs? stehen da einträge vom KCC das einige DC's nicht erreicht werden konnten?

Benötigst du wirklich alle DNS-Zonen an allen Standorten? Es währe sinnvoller am Hauptstandort nur delegierungen auf die DNS-Server für die untergeordneten Domänen zu setzen. Den Rest erledigt der Cache. Die Stammdomäne sollte nur einige wenige sehr wichtige Server enthalten. Bei dieser Konfiguration ändert sich nur sehr wenig und minimiert den Replikationstraffic.

Sollte deine Stammdomäne auch andere Objekte enthalten, kannst du trotzdem alles geradebiegen, indem du die _msdcs.firma.de auf alle DNS-Server die Zone firma.de aber nur am Hauptstandort replizierst. An den Remotestandorten hast du dann schonmal die _msdcs.firma.de. Als nächstes kannst du an jedem Standort eine Stub-Zone für firma.de einrichten. Wenn du eine private tld (zb. firma.lan oder firma.local ...) verwendest, bietet es sich auch an, eine neue GS-weite Zone mit dem namen der TLD einzurichten und eine delegierung für firma.tld einzutragen. Damit kannst du sicherstellen, das immer die DNS-Server am Hauptsitz für abfragen an anderen Standorten verwendet werden. Hier sollten hohe TTL-Werte verwendet werden, um den Cache zu nutzen.

Naja, ich könnte jetzt hier noch 300 Zeilen schreiben ...


Dein Problem ist, das die DNS-Server am Hauptsitz bei fehlenden locator-einträgen für die domäne standort2.firma.de nicht mehr replizieren können. Du musst erst sicherstellen das die Auflösung von allen Standorten funktioniert. du kannst das notdürftig reparieren, indem du auf einem DC am Problemstandort einen DNS-Server am Hauptsitz als primären DNS-Server konfigurierst und den befehl "netdiag /fix" ausführst. Dieser erstellt die locator-einträge neu.

Aber wie gesagt, die Schwachstelle ist das DNS-Design. Du hast immer das Risiko, das bei Problemen mit der standortübergreifenden AD-Replikation das DNS inkonsistent wird. Innerhalb eines standortes kann das zwar auch passieren, ist aber wesentlich unwarscheinlicher und einfacher zu beheben.

Die fehlermeldungen sollten eigentlich auch von den Tools dcdiag und netdiag ausgegeben werden. Hast du das schonmal laufen lassen?

Sobald deine locator-einträge an beiden Standorten vorhanden sind, starte das Tool "replmon", füge den bridgehead am haupt und remotestandort hinzu und erzwinge eine Replikation. Nun sollte es wieder funktionieren. Manchmal ist ein neustart des KCC Dienstes erforderlich, damit dieser die AD-Verbindungen neu erstellt. Je nachdem wie lange das Problem bestand.
Bitte warten ..
Ähnliche Inhalte
Windows Server
AD DC Failover zeitintensiv und DHCP repliziert nicht
Frage von JiggyLeeWindows Server10 Kommentare

Hallöchen Admins! Meine Firma hat seit längerem einen Support Vertrag bei einer Firma für unsere Server. Leider ist die ...

LAN, WAN, Wireless
Gruppenrichtlinie wird nicht repliziert
Frage von faebe2017LAN, WAN, Wireless2 Kommentare

Gruppenrichtlinie wird nicht repliziert auf Clients und auch nicht im gpresult report als abgelehnt gelistet. 2x Windows server 2012 ...

DNS
Drei DNS Zonen aber nur ein AD
Frage von nEmEsIsDNS

Hi @ all, habe eine Frage und finde dazu leider nichts passendes. Wir haben 3 Standorte mit 3 verschiedenen ...

Windows Server
DNS vom AD trennen
gelöst Frage von winlinWindows Server8 Kommentare

Ji Leute Ich habe ein AD integriertes DNS. Möchte das nun voneinander trennen und das DNS abkoppeln und getrennt ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 4 StundenViren und Trojaner

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 8 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware7 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...