12
DNS-Problem: Kein mscds-Eintrag vorhanden!
_mscds fehlt!
Hallo,
bei meinem w2k-DC ist im DNS-Server in der Zone kein _mscds-Eintrag vorhanden. Hab noch nicht herausfinden können, warum der nicht da ist. Ich hab aber schon mehrfach gelesen, dass der da sein müste (oder etwa nicht?).
Folgende Struktur im dns-Server:
DNS --> Servername --> Forward-Lookupzone --> DomainXY --> drei Einträge:
2x "(identisch mit übergeordnetem Ordner)" vom Typ Autoritätsursprung und Namenserver und dann noch "Servername" vom Typ Host.
In der Reverse-Lookuopzone ist nichts drin, dass ist auch richtig so.
Ein W2k-DC für ca. dreißig Rechner mit einer internen Domäne. Das ganze ist hier ein institut im uni-netz. Die externe auflösung läuft über einen dicken server des Rechenzentrums, an den auch weitergeleitet wird. Der DC muss also bloß hier intern auflösen. Will jetzt gerade auf einen neuen w2k3-Server umstellen. Bei der Migration gibt's aber nur Probleme (deswegen vielleicht?). Hab vorhin nslookup ausgeführt mit folgendem Ergebnis:
nslookup am neuen zweiten dc ausgeführt:
bei eingabe des alten dc und dns-servers listet er zwei Sachen auf, erst die komplette Bezeichnung für außen, also ServerXY.InstitutXY.UniXY.de + IP-Adresse und dann auch die interne Variante ServerXY.InstitutXY.intern + IP-Adresse. Bei sämtlichen anderen Versuchen zeigt er nur die externe Geschichte an und sagt dann:
Pc005 wurde von ServerXY.InstitutXY.UniXY.de nicht gefunden: Non-existent domain ???????
Wer kann mir da helfen?
Danke und Gruß,
Stefan
Hallo,
bei meinem w2k-DC ist im DNS-Server in der Zone kein _mscds-Eintrag vorhanden. Hab noch nicht herausfinden können, warum der nicht da ist. Ich hab aber schon mehrfach gelesen, dass der da sein müste (oder etwa nicht?).
Folgende Struktur im dns-Server:
DNS --> Servername --> Forward-Lookupzone --> DomainXY --> drei Einträge:
2x "(identisch mit übergeordnetem Ordner)" vom Typ Autoritätsursprung und Namenserver und dann noch "Servername" vom Typ Host.
In der Reverse-Lookuopzone ist nichts drin, dass ist auch richtig so.
Ein W2k-DC für ca. dreißig Rechner mit einer internen Domäne. Das ganze ist hier ein institut im uni-netz. Die externe auflösung läuft über einen dicken server des Rechenzentrums, an den auch weitergeleitet wird. Der DC muss also bloß hier intern auflösen. Will jetzt gerade auf einen neuen w2k3-Server umstellen. Bei der Migration gibt's aber nur Probleme (deswegen vielleicht?). Hab vorhin nslookup ausgeführt mit folgendem Ergebnis:
nslookup am neuen zweiten dc ausgeführt:
bei eingabe des alten dc und dns-servers listet er zwei Sachen auf, erst die komplette Bezeichnung für außen, also ServerXY.InstitutXY.UniXY.de + IP-Adresse und dann auch die interne Variante ServerXY.InstitutXY.intern + IP-Adresse. Bei sämtlichen anderen Versuchen zeigt er nur die externe Geschichte an und sagt dann:
Pc005 wurde von ServerXY.InstitutXY.UniXY.de nicht gefunden: Non-existent domain ???????
Wer kann mir da helfen?
Danke und Gruß,
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 18357
Url: https://administrator.de/contentid/18357
Printed on: April 19, 2024 at 12:04 o'clock
12 Comments
Latest comment
Wieso ist es richtig, dass in der "Reverse Lookup Zone" nichts drin steht?
Gruß
Atti
Gruß
Atti
Hallo Atti,
das liegt daran, dass wir hier nur 60 IP-Adressen zur Verfügung haben, also 123.456.789.1 - 123.456.789.59
Für eine Reverse Lookup Zone bräuchte man aber doch einen kompletten Bereich/Oktett 1-256 oder nicht?
das liegt daran, dass wir hier nur 60 IP-Adressen zur Verfügung haben, also 123.456.789.1 - 123.456.789.59
Für eine Reverse Lookup Zone bräuchte man aber doch einen kompletten Bereich/Oktett 1-256 oder nicht?
Vielleicht habe ich die DNS-Zusammenhänge auch einfach noch nicht richtig begriffen. Muss ich eine Reverse Lookup Zone einrichten?
Nach meiner Kenntnis muss das kein kompletter Bereich sein in der Reverse Lookup Zone - die Namenauflösung "rückwärts" klappt aber ohne diese Zone nicht (richtig) ...
Gruß
Atti
Gruß
Atti
Ok, dann könnte ich das bei Gelegenheit noch nachholen...
Aber die Auflösung geht in beiden Richtungen nicht. Es ist egal, ob ich die IP oder den Namen eines Clients eingebe, er kann es nicht auflösen. Da stimmt doch was nicht!
Die Clients können generell alle auf den DC zugreifen, aber die DNS-Auflösung scheint nicht zu funktionieren. Mein Problem ist jetzt gerade, dass das alte System natürlich noch in Betrieb ist und ich aber irgendwie an die SIDs aus dem AD des DC kommen muss.
Neu soll dann ein W2k3-DC zum Einsatz kommen mit einer neuen Domäne (anderer Name). Aber wenn ich den einklinke, dann kriegt er das AD nicht repliziert...
Aber die Auflösung geht in beiden Richtungen nicht. Es ist egal, ob ich die IP oder den Namen eines Clients eingebe, er kann es nicht auflösen. Da stimmt doch was nicht!
Die Clients können generell alle auf den DC zugreifen, aber die DNS-Auflösung scheint nicht zu funktionieren. Mein Problem ist jetzt gerade, dass das alte System natürlich noch in Betrieb ist und ich aber irgendwie an die SIDs aus dem AD des DC kommen muss.
Neu soll dann ein W2k3-DC zum Einsatz kommen mit einer neuen Domäne (anderer Name). Aber wenn ich den einklinke, dann kriegt er das AD nicht repliziert...
Das wird auch so nicht funktionieren, wenn Du den Domänennamen änderst, dann kann das AD nicht repliziert werden.
Wir haben die Domänenumstellung sinngemäß so gemacht:
1. zweite Domäne aufgesetzt
2. Benutzer und Gruppen analog zur alten Domäne erstellt
3. Vertrauenstellung (beidseitig) zwischen den Domänen hergestellt
4. Berechtigungen jeder Gruppe (jedes Users) auf Verzeichnisstruktur (Fileserver) für beide Domänen eingerichtet
5. Umsetzen der Computerkonten in neue Domäne
6. Herunterfahren der alten DC's
7. Berechtigungsstruktur von veralteteten Usern befreit ...
Ich hoffe, ich habe nichts vergessen,
Gruß
Atti.
Wir haben die Domänenumstellung sinngemäß so gemacht:
1. zweite Domäne aufgesetzt
2. Benutzer und Gruppen analog zur alten Domäne erstellt
3. Vertrauenstellung (beidseitig) zwischen den Domänen hergestellt
4. Berechtigungen jeder Gruppe (jedes Users) auf Verzeichnisstruktur (Fileserver) für beide Domänen eingerichtet
5. Umsetzen der Computerkonten in neue Domäne
6. Herunterfahren der alten DC's
7. Berechtigungsstruktur von veralteteten Usern befreit ...
Ich hoffe, ich habe nichts vergessen,
Gruß
Atti.
Atti, das hört sich ja sehr gut an!
[Der geänderte Domänenname ist das Ziel! Die Migration versuche ich natürlich schon gerade in der Domäne als 2. DC
]
Mit Verzeichnisstruktur (Fileserver) meinst du bloß den Ordner auf dem Server, wo die Profile liegen? Richtig?
Allerdings, wie stelle ich denn da Berechtigungen ein? Ich trag doch bloß \\fileserver\profile$\%nutzer...% ein...
Kann man die Computerkonten dann einfach von der einen Domäne in die andere rüber schubsen? Hab noch nie mit Vertrauensstellungen, bzw. mehreren Domänen gearbeitet...
Wie gelangen denn dann die SIDs (diese kryptographischen Schlüssel) herüber? Automatisch?
Was genau meinst du mit Punkt 7? Lediglich das Aufräumen und Rausschmeißen der Karteileichen, die schon längst nicht mehr hier arbeiten... Oder muss ich dann noch irgendwelche Berechtigungen entfernen?
Atti: Vielen Dank!
Es kommt Land in Sicht!
[Der geänderte Domänenname ist das Ziel! Die Migration versuche ich natürlich schon gerade in der Domäne als 2. DC
]Mit Verzeichnisstruktur (Fileserver) meinst du bloß den Ordner auf dem Server, wo die Profile liegen? Richtig?
Allerdings, wie stelle ich denn da Berechtigungen ein? Ich trag doch bloß \\fileserver\profile$\%nutzer...% ein...
Kann man die Computerkonten dann einfach von der einen Domäne in die andere rüber schubsen? Hab noch nie mit Vertrauensstellungen, bzw. mehreren Domänen gearbeitet...
Wie gelangen denn dann die SIDs (diese kryptographischen Schlüssel) herüber? Automatisch?
Was genau meinst du mit Punkt 7? Lediglich das Aufräumen und Rausschmeißen der Karteileichen, die schon längst nicht mehr hier arbeiten...
Oder muss ich dann noch irgendwelche Berechtigungen entfernen?Atti: Vielen Dank!
Es kommt Land in Sicht!
Noch eins: Ich kenn mich mit den höheren Strukturen nicht so aus: Wie müssen die beiden Domänen zueinander erstellt werden? Dürfen das zwei verschiedene Gesamtstrukturen sein oder müssen die irgendwie in einer Struktur oder Forest oder ... zusammen sein?
Edit:
die 5 Betriebsmasterrollen, dürfen die dann nur einmal vorhanden sein? Also beide Domains in einen globalen Katalog?
Gruß, Stefan
Edit:
die 5 Betriebsmasterrollen, dürfen die dann nur einmal vorhanden sein? Also beide Domains in einen globalen Katalog?
Gruß, Stefan
Atti, das hört sich ja sehr gut an!
[Der geänderte Domänenname ist das
Ziel! Die Migration versuche ich
natürlich schon gerade in der
Domäne als 2. DC]
Mit Verzeichnisstruktur (Fileserver) meinst
du bloß den Ordner auf dem Server, wo
die Profile liegen? Richtig?
[Der geänderte Domänenname ist das
Ziel! Die Migration versuche ich
natürlich schon gerade in der
Domäne als 2. DC
]Mit Verzeichnisstruktur (Fileserver) meinst
du bloß den Ordner auf dem Server, wo
die Profile liegen? Richtig?
... nicht ganz, eigentlich meinte ich alle Dateien, die im Netz abgelegt werden auf einem Fileserver. Wir speichern generell nichts im Profil ab, da uns diese schon zu oft kaputt gegangen sind sondern haben eine Verzeichnisstruktur auf einem Server, in der jeder seine Dateien abspeichet - die Profile liegen lokal.
Allerdings, wie stelle ich denn da
Berechtigungen ein? Ich trag doch bloß
\\fileserver\profile$\%nutzer...% ein...
Berechtigungen ein? Ich trag doch bloß
\\fileserver\profile$\%nutzer...% ein...
Wenn Du im Explorer auf das Userverzeichnis Rechtsklickst, und "Eigenschaften" -> "Sicherheit" wählst, siehst Du, wer berechtigt ist. Hier kannst Du den gleichen User der Domäne hinzufügen.
Kann man die Computerkonten dann einfach von
der einen Domäne in die andere
rüber schubsen? Hab noch nie mit
Vertrauensstellungen, bzw. mehreren
Domänen gearbeitet...
Nein, siehe 2. - es gibt zwar Migrationstools, die Dir die User von Domäne A nach Domäne B holen, da habe ich aber schon Probleme gehabt ... Die SID bleibt sowieso nicht die gleiche, da unteschiedliche Domänen.
Wie gelangen denn dann die SIDs (diese
kryptographischen Schlüssel)
herüber? Automatisch?
Was genau meinst du mit Punkt 7? Lediglich
das Aufräumen und Rausschmeißen
der Karteileichen, die schon längst
nicht mehr hier arbeiten...
Oder mussich dann noch irgendwelche Berechtigungen
entfernen?
Nach der Umstellung siehst Du bei "Eigenschaften" -> "Sicherheit" die Leichen als SID's, die kannst Du dann löschen ...
Atti: Vielen Dank!
Es kommt Land in Sicht!
Es sind zwei von einander völlig unterschiedliche Domänen, jeder DC hat die Rollen fünf und seinen eigenen globalen Katalog.
Eine Vertrauensstellung richtest Du ein über das AD-SnapIn "AD Domänen und Vertrauesstellungen". Du musst auf beiden Domänen einen User mit Domänenadminrechten haben und DNS muss natürlich auf beiden Domänen fehlerfrei arbeiten,
Gruß
Atti
Eine Vertrauensstellung richtest Du ein über das AD-SnapIn "AD Domänen und Vertrauesstellungen". Du musst auf beiden Domänen einen User mit Domänenadminrechten haben und DNS muss natürlich auf beiden Domänen fehlerfrei arbeiten,
Gruß
Atti
Habs verstanden!
DANKE!
Werd mich da dann mal dran machen und hoffentlich heute abend noch ein Erfolgserlebnis haben...
DANKE!
Werd mich da dann mal dran machen und hoffentlich heute abend noch ein Erfolgserlebnis haben...
Um diesen Thread abzuschließen:
Es hat alles wunderbar geklappt nach Attis Anleitung...
Allerdings hat es mit der ursprünglichen Frage nach dem _mscds-Eintrag nicht mehr viel zu tun... Das DNS vom alten W2k-Server war irgendwie zerschossen...
Trotzdem werde ich den Thread als gelöst abspeichern...
Nochmal DANKE,
Stefan
Es hat alles wunderbar geklappt nach Attis Anleitung...
Allerdings hat es mit der ursprünglichen Frage nach dem _mscds-Eintrag nicht mehr viel zu tun... Das DNS vom alten W2k-Server war irgendwie zerschossen...
Trotzdem werde ich den Thread als gelöst abspeichern...
Nochmal DANKE,
Stefan
