Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Microsoft Windows Server

GELÖST

Der perfekte 2. Domänencontroller in einer ActiveDirectory2003-Umgebung?

Mitglied: AdminKnecht

AdminKnecht (Level 1) - Jetzt verbinden

25.07.2008, aktualisiert 17.10.2012, 6461 Aufrufe, 7 Kommentare

wer hat ihn, wer kennt ihn, und wenn ja, warum nicht? ))

Hallo Kollegen,

stehe hier vor der Aufgabe, eine alte NT4-Domäne nach 2003 mit AD zu migrieren, habe mir einiges angelesen und teste z.Zt. in VMWare, soweit ganz gut, der 1.2003er-DC läuft nun stabil mit DNS (klaro!) und WINS und DHCP!
Einfach nur 1 Domäne in 1 Gesamtstruktur an 1 Standort (herrlich, quasi Laborbedingungen

Habe auch schon mal eine längere Frage hier http://www.administrator.de/frage/aufsetzen-eines-weiteren-dcs-in-einem ... eingestellt, die Antwort von datasearch war auch hilfreich, so weit, so gut!

JETZT habe ich einen weiteren 2003-Server als "Backup-DC" für den Fall aufgesetzt, das der 1.DC absemmelt..

Also W3K installiert, dann SP1 drüber, LiveUpdates, SupportTools etc.pp., feste IP mit DNS+WINS zum 1.DC...

Dann erst mal angefangen mit WINS am neuen DC, Replikation eingerichtet, am DC1 auch, passt!
Damit auch alle vom neuen WINS wissen, im DHCP am 1.DC bei den Bereichsoptionen den 2.WINS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.

Dann auf dem neuen DC einen DHCP-Server eingerichtet (den zweiten in der Domäne!!!), mit natürlichen unterschiedlichem IP-Bereich , auch gleich im AD autorisiert (sonst startet er erst gar nicht!), passt! Testweise mal den DHCP am DC1 deaktiviert, nach Ablauf seiner Leasezeit nimmt sich ein Client statt vom DC1 nun eine IP aus dem Pool vom DC2 (also DHCP2)

So, dananch immer noch kein dcpromo ausgeführt sondern erst noch den DNS-Server installiert (dieser Schritt wurde mehrfach irgendwo empfohlen), dann bei der Einrichtung des DNS-Servers eine "primäre Zone" erstellt (AD-integriert), als Zonennamen firma.ads eingetragen (die auch schon am DNS auf DC1 existiert), und prompt kam die MEldung "Zone kann nicht erstellt werden... existiert schon..." --- 2x versucht, dann abgebrochen, und siehe da, beide Zonen (forward+reverse) waren plötzlich aufgelistet, inkl. der _msdcs-Zone...! (weil die Replikation bei AD-integrierten-Zonen halt über das AD läuft

Damit auch alle vom neuen DNS wissen, im DHCP am 1.DC+2.DC bei den Bereichsoptionen den 2.DNS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.

Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs

Dann endlich dcpromo ausgeführt und einen weiteren DC in der Domäne firma.com erstellt, und nicht vergessen, den GlobalCatalog auch an diesem DC zur Verfügung zu stellen!

So, ich habe jetzt:


DC1:
IP manuell: 172.17.1.1
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99

DC2:
IP manuell: 172.17.1.2
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99

ClientW2K:
IP per DHCP: 172.17.200.1 (vom DHCP2 am DC2 geholt)
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99

ClientXP:
IP per DHCP: 172.17.100.1 (vom DHCP1 am DC1 geholt)
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99

Alles wunderbar, der W2K-Client löst nslookup-Anfragen ohne Fehlermeldung über den 172.17.1.1 auf, der XP über die 172.17.1.2, also alles so, wie auch in der Reihenfolge bei den IP-Settings vorgesehen, und bei den DCs gehts wechselseitig über den jeweils anderen!

Ein Ping auf firma.ads ging übrigens erfolgreich an die 172.17.1.1, da ja am DC1 auch die 5 Betriebsmaster "sitzen"!

DANN mal den Gau simuliert, in dem der DC1 abgeschaltet wurde!


Am Client W2K, der ja bisher über den DC1 auflöste, kommt es bei nslookup nun zu einer kurzen Verzögerung mit MEldungm das der 172.17.1.1 nicht gefunden wurde, und das der Standardserver nun der 172.17.1.2 ist, Abfragen werden korrekt aufgelöst! ----juchhu---! Hier und an den anderen Clients geht auch alles andere (Domänenanmeldung, pings etc.) wie gewohnt, nur halt über den DC2 .....!

Ein Ping auf firma.ads ging nun immer noch an die 172.17.1.1, allerdings erfolglos (da ja am DC1 auch die 5 Betriebsmaster "sitzen"?)

Was ich jetzt nicht verstehe (endlich kommt er zum Punkt )))))))))))):

Am verbliebenen DC, dem DC2, der ja bisher immer nslookup-Anfragen über den DC1 (172.17.1.1) auflöste, kommt jetzt die Meldung, das er den Server 172.17.1.1 nicht mehr finden konnte (ach???) und als Standardserver nun "unknown" nimmt, dementsprechend fallen die nslookup-Anfragen auch aus, nämlich negativ!!!
Laut IP-Settings soll er doch nach dem 1.DNS an 172.16.1.1 nun den 2.DNS an 172.16.1.2 nehmen, also sich selber, warum macht er das nicht?

Wenn mir darauf jemand eine schlaue Antwort geben könnte, wäre ich fat soweit, mal darau ein kleines Tutorial zum Thema basteln zu können ))

Schönes Wochenende

AdminKnecht
Mitglied: sysad
25.07.2008 um 13:30 Uhr
Und was genau war die Frage? Fehlt in Deinem Post unten noch was?
Bitte warten ..
Mitglied: 60730
25.07.2008 um 13:42 Uhr
Servus,

ich habe ein größeres Problem mit der Vorgehensweise, die du als Insel Problem bezeichnest.
Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs face-wink

Dazu gebe ich dir (jedem interessierten) mal ein "Worst Case Szenario vor:

  • DC2 hat DC1 als primären DNS und umgekehrt...
  1. meldet sich nun Client x an DC1 an, schreibt DC1 den DNS Eintrag von Client X zum DC2.
  2. DC2 erkennt, daß eine Änderung der DNS DB erfolgt ist und gleicht mit DC1 ab.
  3. Ergo - ein zusätzlicher Traffic (Schritt 1), der (in meinen Augen) nicht sein muß.

  • Kachelt DC1 oder DC2 nun ab, "hagelt es" Fehlermeldungen.
  1. Und zwar deutlich mehr, als die beim booten des / der DCs (der ja eigentlich nur eine Woche später als der Patchday geschehen sollte) auftreten.
  2. Ergo- um eine Fehlermeldung pro DC zu umgehen, erzeugst du Traffic, der wiederum (extrem Worstcase) dazu beitragen "könnte", daß einer der DNS Dienste aus dem Tritt kommt....

  • Und damit hast du - im Falle, daß viele Standorte benutzt werden, ein echtes Problem geschaffen.

Mag sein, daß dein Weg der mittlerweile von MS propagierte ist, als ich es "gelernt" habe, wurde es anders geschult.
(Jeder DNS Server ist sein eigener Client)

Gruß

edit:/Formatierung
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 13:46 Uhr
...ahh, ich vermute, du hat den Beitrag schon während der Erstellung gelesen ))) ?

Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!

Grüße

AdminKnecht
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 13:51 Uhr
Servus Servus )

ich kann deine Argumentation ganz klar nachvollziehen, finde es auch gut, das man mal Denkanstöße in "andere" Richtungen bekommt, prima Forum hier!

Der erhöte Traffic sollte aber keinen nachteiligen Effekt haben da zumindest hier bei uns nur 1 Standort mit 1 Domäne betrieben wird.

In größeren Szenarien sollte man sich richtigerweise diese Argumente im Hinterkopf behalten, vielen Dank!

Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen? Sollte man ggfs. das Standardgateway 1.99 bei den beiden DCs als sek.DNS eintragen?

Grüße

AdminKnecht
Bitte warten ..
Mitglied: 60730
25.07.2008 um 13:52 Uhr
Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!

Weil du (d)ein "Insel" Problem erschaffen hast
Siehe "Worst Case Szenario"

Gruß

edit:
Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen?
Doch, habe ich doch (zumindestens) versucht.

Bis der DNS Dienst "merkt", daß DC1 mal "länger" nicht erreichbar ist, greift er sich nicht den 2. (sich selber) DNS Server.
/edit
Bitte warten ..
Mitglied: VW
25.07.2008 um 13:57 Uhr
Moin,

(Jeder DNS Server ist sein eigener Client)
So habe ich es vor ca. 2,5 Monaten auch in einer Schulung beigebracht gekriegt, damit der Server, der noch am leben ist, auch im Falle eines Ausfalls des jeweils anderen weiterhin DNS-Namen auflösen kann, ohne Verzögerungen oder Fehler zu verursachen.

VW
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 14:14 Uhr
hab es gerade mal getestet, jeweils die eigene IP als pri.DNS bei den DCs eingetragen, so funktioniert es!!

Spitze, wieder was gelernt, euch allen DANKE udn ein schönes Wochenende!!!

AdminKnecht
Bitte warten ..
Ähnliche Inhalte
Exchange Server
Exchange 2016 in Hyper-V Umgebung auf Domänencontroller
gelöst Frage von Frank1993Exchange Server13 Kommentare

Hallo, ich würde gerne Exchange 2016 in einer Hyper-V Umgebung auf einem Domänencontroller zu installieren. Technisch geht das ja, ...

Netzwerke
Planung neue (perfekte) Netzwerkhardware
Frage von andy-9Netzwerke15 Kommentare

Servus zusammen, da ich dieses Jahr endlich von 2.000er DSL auf min. 30.000er DSL hochgestuft werden soll, nehme ich ...

Windows Server
Domänencontroller entsorgen
gelöst Frage von JuckieWindows Server3 Kommentare

Hallo an alle, ich habe vor rund 6 Wochen einen Domänencontroller (Windows Server 2003 R2) per DCPromo ohne Fehlermeldungen ...

Windows Userverwaltung
Domänencontroller in der Cloud
Frage von thorstenhessenWindows Userverwaltung5 Kommentare

Hallo Administratoren, etwas vorweg, ich habe technisch nicht viel Ahnung, ich bin kein ITler. ;-) Ich hoffe die Frage ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Windows Server
DNS Forwarding an andere Domäne
Frage von detox91Windows Server9 Kommentare

Hallo, für Testzwecke haben wir bei uns eine zweite Windows Domäne (B.local) aufgebaut, welche komplett unabhängig und isoliert der ...