Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

DNS-Repizierung bei sekundären DC funktioniert nach übernahme der FSMO-Rollen nicht

Frage Netzwerke DNS

Mitglied: Philipp711

Philipp711 (Level 2) - Jetzt verbinden

14.04.2011 um 21:40 Uhr, 5559 Aufrufe, 7 Kommentare

Hi Leute,

hier eine kleine einführung in den Sachverhalt:

es geht darum, dass ich am Dienstag abend einen neuen Domänencontroller in die Domäne eingebunden habe. Die Domäne basierte damals auf einem Server 2003. Der neue DC ist ein Server 2008R2.

Am Dienstag habe ich dann begonnen den Server 2008R2 zu installieren und zum sekundären Domänencontroller heraufzustufen. Bei der Installation wurde der Globale-Katalog und der DNS-Server mit installiert. Da die DNS-Zonen AD-Integriert sind brauchte ich den DNS nicht zu konfigurieren.

Soweit so gut. Ich gehe davon aus, dass der "alte" 2003er bald den Geist aufgibt. Im Zuge dessen hab ich auch die FSMO-Rollen mithilfe von NTDSUTIL transferiert.

Jetzt zu dem Problem: Testweise habe ich alle Server heruntergefahren. Den 2008er habe ich zuerst gestartet. Beim Start begann es schon zu "krachen". Wenn ich im Server Manager unter DNS-Server Zonen-Einträge suche sind diese weg (<- keine Forward und Reverse Zone), mit anderen Worten der DNS-Server läuft auf dem neuen Server NICHT! Dadurch steht auch in den "Active Directory Domänen und Benutzer-Konsole" unter Betriebsmaster bei allen FSMO-Rollen "FEHLER". Im Eventlog wird angezeigt, dass durch einen nicht konfigurierten/auffindbaren DNS keine Einträge etc gefunden und geladen werden konnten.
Komisch an der ganzen Sache ist allerdings: Wenn ich den "alten" wieder hoch fahre, nach dem Anmelden 1min warte, ist alles wieder da! Ich kann auch über den neuen Server auf die DNS-Zonen zugreifen und in de FSMO-Rollen steht wieder der richtige Server. D.h. der neuen FSMO-Rollen-Inhaber bekommt die DNS-Zonen bzw. den DNS-Server nicht geladen und "verknüpft" nur auf den alten DNS!

Durch den Befehl "Netdom Query Fsmo" konnte ich allerdings feststellen das alle FSMO-Rollen richtig liegen. Nur wahrscheinlich durch fehlende DNS-Records nicht geladen werden können.

Bin Momentan vorsichtig und möchte nichts weiter kaputt machen und wollte mich hier erkundigen wie ihr weiter vorgehen würdet, beziehungsweise diskutieren warum dies passieren konnte.

Ich hätte eine Vermutung was ich falsch gemacht habe:
Ich habe dem neuen Domänencontroller quasi im gleichen moment wo er DC wurde schon die FSMO-Rollen verpasst. Mit anderen worten-> ich habe bei dcpromo auf "Fertigstellen" geklickt und im gleichen moment CMD geöffnent und durch NTDSUTIL die Rollen übertragen. Dem Server habe ich also keine Zeit gegeben die DNS-Konfig und Zonen sowie die komplette AD zu replizieren. Dadruch das er selber dann nach wenigen Minuten der "Chef" war, konnte der keine Zonen von einem funktionierenden "Chef" ziehen. Könnte dies der Fall sein?

Lösungsvorschlag: FSMO-Rollen wieder auf den alten, den 2008er herabstufen zum "normalen" Server. Danach wieder zum sec. DC herufstufen und mal ein Wochenende Zeit geben zur replizierung und dann den ganzen FSMO-Spass nochmal neu. Was meint ihr?
Mitglied: DMeyer
14.04.2011 um 21:56 Uhr
Hallo,

soweit ich weiß überträgt man die Rollen per ntdsutil nur dann wenn ein Domänencontroller ausgefallen ist und nicht mehr zur Verfügung steht. Mit ntdsutil erzwingt man ein übertragen. Wenn man die Rollen so übertragen hat, darf der alte Domänencontroler nicht mehr ans Netz, weils es sonst kracht. Man kann doch die Rollen per Verwaltungsconsole übertragen. Mit dem das der DNS/ADS keine Zeit hatte sich zu syncroniesieren haste natürlich noch einen Fehler gemacht.

Spontan hört sich das so an als ob du deine Domäne geschrottet hast...... Auf jeden Fall wirds jetzt haarig das ganze zu reparieren.....

Wie gesagt ist mein spontaner Eindruck.

Gruß

Daniel
Bitte warten ..
Mitglied: J0j0
14.04.2011 um 22:15 Uhr
Hast du den DNS per Hand übertragen?

Export(alt) > Import (neu)

Ich musste das nun schon mehrfach machen!!
Der Replikation vertraue ich nicht... was sich auch schon bestätitgt hat...
Bitte warten ..
Mitglied: 60730
14.04.2011 um 23:19 Uhr
gute Nacht... !!!!

sagt mal, sind wir hier bei Hempels unterm Sofa? sekundären DC bei W2k3 und W2k8

Wenn man es richtig macht, kriegt man sogar eine Windows Domaine zum laufen....

Und wenn man es richtig falsch macht, dann macht man es auch richtig falsch...

Ich musste das nun schon mehrfach machen!!
dann frag dich mal warum, statt anderen Tipps zu geben...

Nirgendwo lese ich dass das Schema erweitert wurde -muß man wahrscheinlich auch nicht... oder nicht schreiben
Auf jeden fall kann man ohne alles zu wissen, was da wirklich wie abgelaufen ist und ohne Logs zu lesen nix vernünftiges sagen.
Und nein - diese Megabytes an Log lese ich nicht.

Holt euch jemanden vor Ort und mal über ein paar MCSA/E Lehrgänge nachdenken..

(erst denken, dann lenken) oder wenigstens Yusufs Blog einen Blick schenken.....

!!! Hugh
Bitte warten ..
Mitglied: J0j0
14.04.2011 um 23:24 Uhr
jap yusuf ist wirklich gut!!

Das übertragen ist etwas komplexer... dazu gibt es aber genügend infos bei google und co.... ;)

was ich generell immer mache ist mittels VMWare die Server zu kopieren.... dann kannst du die Domäne so oft zerstören wie du möchtest.... ist ja nicht die echte....
Das solltet ihr euch angewöhnen..... eine Anleitung gibts hier im forum speziell auf dich zugeschnitten bestimmt nicht.... daher infos sammeln und testen... ich habe für ein upgrade von 2003 auf 2008 mit exchange/ad/dns usw einen monat vorlauf gehabt....
hat alles wunderbar funktioniert. Kein spürbarer ausfall....
Bitte warten ..
Mitglied: Philipp711
15.04.2011 um 07:51 Uhr
Danke für die Antworten!

die Domäne ist nicht komplett kaputt, Anmeldungen laufen seit 3 Tagen einwandfrei. Per NTDSUTIL kann man die Rollen auch durch einen transfer verschieben, genau so wie per GUI. Ich habe die CMD gewählt da dadurch alle 5 rollen übertragen werden können. Per GUI gehen nur 3!

ich hab das ganze übrigens nach Anleitung von yusuf gemacht. Die Schema-erweiterung wurde letzte Woche erledigt. Denke das ich nochmal zurück rudern werde und den spaß mit nem wochenende replizierzeit wiederhole!
Bitte warten ..
Mitglied: 60730
15.04.2011 um 09:43 Uhr
Salü,

ich hab das ganze übrigens nach Anleitung von yusuf gemacht.
Die Schema-erweiterung wurde letzte Woche erledigt.

"dann schreib das doch...."

  • Geh in Sites and Services und schau dir die NTDS Settings an
  • Geh zum DNS Snapin und schau, ob du nicht mal das replizieren nur zu bestimmten DNSsen erlaubt hast

  • installier dir die Admintools und schau nach dcdiag
  • benutze Replmon

  • überlege 3* bevor du jetzt was machst..

Gruß
Bitte warten ..
Mitglied: J0j0
15.04.2011 um 11:43 Uhr
Testsystem????

Gruss,
jojo
Bitte warten ..
Ähnliche Inhalte
Windows Server
FSMO Rollen zurück übertragen
gelöst Frage von manu90Windows Server3 Kommentare

hi zusammen, ich hatte einen SBS2003 und einen 2012 R2 dummerweise habe ich sämtliche FSMO Rollen bereits auf den ...

Windows Server
Defekter DC nicht merh vorhanden FSMO Rollen am neuen DC hinzufügen
gelöst Frage von d.mayerWindows Server7 Kommentare

Hallo Leute, habe folgendes Problem habe früher zwei DCs (DC1 (defekt) und DC2(vorhanden))gehabt. Leider hat der DC1 den Geist ...

Microsoft
FSMO Rollen wiederherstellen? SBS2011
gelöst Frage von renarenaMicrosoft7 Kommentare

Hallo zusammen, durch einen Fehler bei der SBS2011 Migration (ein bisher auf einer physischen Maschine laufender SBS2011 sollte mittels ...

Windows Server
Fsmo rollen übertragen - aktualisierung vom schema auf allen server dazu nötig?
gelöst Frage von retodellatorreWindows Server13 Kommentare

hallo zusammen ich habe einen 2008r2 server welcher nun auf eine neue maschine mit 2012r2 übertragen wird. der neue ...

Neue Wissensbeiträge
Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 7 StundenWindows 101 Kommentar

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 9 StundenSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 1 TagViren und Trojaner2 Kommentare

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 1 TagRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Netzwerkgrundlagen
Hi eine blöde frage. xD
Frage von 132954Netzwerkgrundlagen12 Kommentare

Also: Habe 2012 r2 essentials neuinstalliert, allerdings installiert diese version ja gleich diesen gangen AD kram mit, den hab ...