Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Der perfekte 2. Domänencontroller in einer ActiveDirectory2003-Umgebung?

Frage Microsoft Windows Server

Mitglied: AdminKnecht

AdminKnecht (Level 1) - Jetzt verbinden

25.07.2008, aktualisiert 17.10.2012, 6419 Aufrufe, 7 Kommentare

wer hat ihn, wer kennt ihn, und wenn ja, warum nicht? ))

Hallo Kollegen,

stehe hier vor der Aufgabe, eine alte NT4-Domäne nach 2003 mit AD zu migrieren, habe mir einiges angelesen und teste z.Zt. in VMWare, soweit ganz gut, der 1.2003er-DC läuft nun stabil mit DNS (klaro!) und WINS und DHCP!
Einfach nur 1 Domäne in 1 Gesamtstruktur an 1 Standort (herrlich, quasi Laborbedingungen

Habe auch schon mal eine längere Frage hier http://www.administrator.de/frage/aufsetzen-eines-weiteren-dcs-in-einem ... eingestellt, die Antwort von datasearch war auch hilfreich, so weit, so gut!

JETZT habe ich einen weiteren 2003-Server als "Backup-DC" für den Fall aufgesetzt, das der 1.DC absemmelt..

Also W3K installiert, dann SP1 drüber, LiveUpdates, SupportTools etc.pp., feste IP mit DNS+WINS zum 1.DC...

Dann erst mal angefangen mit WINS am neuen DC, Replikation eingerichtet, am DC1 auch, passt!
Damit auch alle vom neuen WINS wissen, im DHCP am 1.DC bei den Bereichsoptionen den 2.WINS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.

Dann auf dem neuen DC einen DHCP-Server eingerichtet (den zweiten in der Domäne!!!), mit natürlichen unterschiedlichem IP-Bereich , auch gleich im AD autorisiert (sonst startet er erst gar nicht!), passt! Testweise mal den DHCP am DC1 deaktiviert, nach Ablauf seiner Leasezeit nimmt sich ein Client statt vom DC1 nun eine IP aus dem Pool vom DC2 (also DHCP2)

So, dananch immer noch kein dcpromo ausgeführt sondern erst noch den DNS-Server installiert (dieser Schritt wurde mehrfach irgendwo empfohlen), dann bei der Einrichtung des DNS-Servers eine "primäre Zone" erstellt (AD-integriert), als Zonennamen firma.ads eingetragen (die auch schon am DNS auf DC1 existiert), und prompt kam die MEldung "Zone kann nicht erstellt werden... existiert schon..." --- 2x versucht, dann abgebrochen, und siehe da, beide Zonen (forward+reverse) waren plötzlich aufgelistet, inkl. der _msdcs-Zone...! (weil die Replikation bei AD-integrierten-Zonen halt über das AD läuft

Damit auch alle vom neuen DNS wissen, im DHCP am 1.DC+2.DC bei den Bereichsoptionen den 2.DNS mit eingetragen und bei den "fixed-IP-Rechnern" ebenfalls, aber manuell.

Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs

Dann endlich dcpromo ausgeführt und einen weiteren DC in der Domäne firma.com erstellt, und nicht vergessen, den GlobalCatalog auch an diesem DC zur Verfügung zu stellen!

So, ich habe jetzt:


DC1:
IP manuell: 172.17.1.1
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99

DC2:
IP manuell: 172.17.1.2
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99

ClientW2K:
IP per DHCP: 172.17.200.1 (vom DHCP2 am DC2 geholt)
WINS1: 172.17.1.1
WINS2: 172.17.1.2
DNS pri.: 172.17.1.1
DNS sek.: 172.17.1.2
sGW: 172.17.1.99

ClientXP:
IP per DHCP: 172.17.100.1 (vom DHCP1 am DC1 geholt)
WINS1: 172.17.1.2
WINS2: 172.17.1.1
DNS pri.: 172.17.1.2
DNS sek.: 172.17.1.1
sGW: 172.17.1.99

Alles wunderbar, der W2K-Client löst nslookup-Anfragen ohne Fehlermeldung über den 172.17.1.1 auf, der XP über die 172.17.1.2, also alles so, wie auch in der Reihenfolge bei den IP-Settings vorgesehen, und bei den DCs gehts wechselseitig über den jeweils anderen!

Ein Ping auf firma.ads ging übrigens erfolgreich an die 172.17.1.1, da ja am DC1 auch die 5 Betriebsmaster "sitzen"!

DANN mal den Gau simuliert, in dem der DC1 abgeschaltet wurde!


Am Client W2K, der ja bisher über den DC1 auflöste, kommt es bei nslookup nun zu einer kurzen Verzögerung mit MEldungm das der 172.17.1.1 nicht gefunden wurde, und das der Standardserver nun der 172.17.1.2 ist, Abfragen werden korrekt aufgelöst! ----juchhu---! Hier und an den anderen Clients geht auch alles andere (Domänenanmeldung, pings etc.) wie gewohnt, nur halt über den DC2 .....!

Ein Ping auf firma.ads ging nun immer noch an die 172.17.1.1, allerdings erfolglos (da ja am DC1 auch die 5 Betriebsmaster "sitzen"?)

Was ich jetzt nicht verstehe (endlich kommt er zum Punkt )))))))))))):

Am verbliebenen DC, dem DC2, der ja bisher immer nslookup-Anfragen über den DC1 (172.17.1.1) auflöste, kommt jetzt die Meldung, das er den Server 172.17.1.1 nicht mehr finden konnte (ach???) und als Standardserver nun "unknown" nimmt, dementsprechend fallen die nslookup-Anfragen auch aus, nämlich negativ!!!
Laut IP-Settings soll er doch nach dem 1.DNS an 172.16.1.1 nun den 2.DNS an 172.16.1.2 nehmen, also sich selber, warum macht er das nicht?

Wenn mir darauf jemand eine schlaue Antwort geben könnte, wäre ich fat soweit, mal darau ein kleines Tutorial zum Thema basteln zu können ))

Schönes Wochenende

AdminKnecht
Mitglied: sysad
25.07.2008 um 13:30 Uhr
Und was genau war die Frage? Fehlt in Deinem Post unten noch was?
Bitte warten ..
Mitglied: 60730
25.07.2008 um 13:42 Uhr
Servus,

ich habe ein größeres Problem mit der Vorgehensweise, die du als Insel Problem bezeichnest.
Übrigens, die beiden DC2 verweisen in ihrem "primären DNS" auf den jeweils anderen, die eigene IP ist als "sek. DNS" gesetzt (vermeidet das sog. "Insel-Problem" beom Booten der DCs face-wink

Dazu gebe ich dir (jedem interessierten) mal ein "Worst Case Szenario vor:

  • DC2 hat DC1 als primären DNS und umgekehrt...
  1. meldet sich nun Client x an DC1 an, schreibt DC1 den DNS Eintrag von Client X zum DC2.
  2. DC2 erkennt, daß eine Änderung der DNS DB erfolgt ist und gleicht mit DC1 ab.
  3. Ergo - ein zusätzlicher Traffic (Schritt 1), der (in meinen Augen) nicht sein muß.

  • Kachelt DC1 oder DC2 nun ab, "hagelt es" Fehlermeldungen.
  1. Und zwar deutlich mehr, als die beim booten des / der DCs (der ja eigentlich nur eine Woche später als der Patchday geschehen sollte) auftreten.
  2. Ergo- um eine Fehlermeldung pro DC zu umgehen, erzeugst du Traffic, der wiederum (extrem Worstcase) dazu beitragen "könnte", daß einer der DNS Dienste aus dem Tritt kommt....

  • Und damit hast du - im Falle, daß viele Standorte benutzt werden, ein echtes Problem geschaffen.

Mag sein, daß dein Weg der mittlerweile von MS propagierte ist, als ich es "gelernt" habe, wurde es anders geschult.
(Jeder DNS Server ist sein eigener Client)

Gruß

edit:/Formatierung
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 13:46 Uhr
...ahh, ich vermute, du hat den Beitrag schon während der Erstellung gelesen ))) ?

Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!

Grüße

AdminKnecht
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 13:51 Uhr
Servus Servus )

ich kann deine Argumentation ganz klar nachvollziehen, finde es auch gut, das man mal Denkanstöße in "andere" Richtungen bekommt, prima Forum hier!

Der erhöte Traffic sollte aber keinen nachteiligen Effekt haben da zumindest hier bei uns nur 1 Standort mit 1 Domäne betrieben wird.

In größeren Szenarien sollte man sich richtigerweise diese Argumente im Hinterkopf behalten, vielen Dank!

Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen? Sollte man ggfs. das Standardgateway 1.99 bei den beiden DCs als sek.DNS eintragen?

Grüße

AdminKnecht
Bitte warten ..
Mitglied: 60730
25.07.2008 um 13:52 Uhr
Die Frage war, warum ich vom DC2 bei ausgefallenem DC1 keine nslookup-Abfrage mehr auflösen kann!

Weil du (d)ein "Insel" Problem erschaffen hast
Siehe "Worst Case Szenario"

Gruß

edit:
Warum die Auflösung nicht mehr funktioniert am DC2 (wenn DC1 aus ist), kannst du mir auch nciht sagen?
Doch, habe ich doch (zumindestens) versucht.

Bis der DNS Dienst "merkt", daß DC1 mal "länger" nicht erreichbar ist, greift er sich nicht den 2. (sich selber) DNS Server.
/edit
Bitte warten ..
Mitglied: VW
25.07.2008 um 13:57 Uhr
Moin,

(Jeder DNS Server ist sein eigener Client)
So habe ich es vor ca. 2,5 Monaten auch in einer Schulung beigebracht gekriegt, damit der Server, der noch am leben ist, auch im Falle eines Ausfalls des jeweils anderen weiterhin DNS-Namen auflösen kann, ohne Verzögerungen oder Fehler zu verursachen.

VW
Bitte warten ..
Mitglied: AdminKnecht
25.07.2008 um 14:14 Uhr
hab es gerade mal getestet, jeweils die eigene IP als pri.DNS bei den DCs eingetragen, so funktioniert es!!

Spitze, wieder was gelernt, euch allen DANKE udn ein schönes Wochenende!!!

AdminKnecht
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Server
gelöst Zusätzlichen Windows Server 2012R2 Domänencontroller hinzufügen (5)

Frage von Mar-west zum Thema Windows Server ...

Windows Server
Dieser active directory domänencontroller schein der letzte dns (3)

Frage von homermg zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...