19
W2k3 Server: Seltsame DNS-Fehler in Ereignisprotokoll
Hallo,
ich habe einen Win2k3 SP1 Server mit dem Server-Assistenten zum AD-Server gemacht, mit DHCP und DNS. Alles funktioniert prima, im Ereignisprotokoll finde ich aber immer folgende Fehler zu jeder Zone (Forward und Reverse) die im DNS eingetragen ist:
Fehler ID: 4004
"Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "." nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode."
Davor kommt der Fehler (4015):
"DNS-Server hat einen kritischen Fehler im Active Directory ermittelt. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert. Die erweitere Fehlerdebuginformation (die eventuell leer ist), ist "". Die Ereignisdaten enthalten den Fehlercode."
Wie bekomme ich denn das wieder in den Griff?
ich habe einen Win2k3 SP1 Server mit dem Server-Assistenten zum AD-Server gemacht, mit DHCP und DNS. Alles funktioniert prima, im Ereignisprotokoll finde ich aber immer folgende Fehler zu jeder Zone (Forward und Reverse) die im DNS eingetragen ist:
Fehler ID: 4004
"Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "." nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode."
Davor kommt der Fehler (4015):
"DNS-Server hat einen kritischen Fehler im Active Directory ermittelt. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert. Die erweitere Fehlerdebuginformation (die eventuell leer ist), ist "". Die Ereignisdaten enthalten den Fehlercode."
Wie bekomme ich denn das wieder in den Griff?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 14285
Url: https://administrator.de/contentid/14285
Printed on: April 24, 2024 at 16:04 o'clock
19 Comments
Latest comment
Moin Moin,
hatte diesen Fehler so leider bzw. zum Glück auch noch nicht.
Wenn du aber die supporttools von der Server installations CD installierst, kannst du einige Tests durchführen. Hier mal einige Befehle die dir eventuell mehr Aufschluss geben könnten:
Eingabeaufforderung öffnen:
dcdiag --> werden alle Tests ( Server CD) durchgeführt und fertiggestellt ?
nslookup --> hier siehst du ob Server name und Adresse korrekt sind
nltest /dsfgetsite --> wird der active Directory Standort gefunden
nltest /dclist --> hier sollten alle Domainen Kontroller angezeigt werden, ist er dabei?
net accounts --> du solltest hier eine primäre Computerrolle haben
net share --> es sind Freigaben nötig für die Fehlerfreie Funktion, hiermit kannst du überprüfen ob sie da sind. z.B. der Ordner Sysvol
Hoffe das hilft dir schon einmal weiter, meist sind diese tools ganz nützlich. Wie gesagt, für den Befehl dcdiag musst du erst die tools unter \support\tools auf der Server install CD installieren (Da findest du einen .msi Datei).
Ansonsten könntest du schauen ob ein Globaler Katalog besteht und alle Container (Computers, USers, ForeignSecurityPrinzipals,...) unter Acticve Directory Benutzer und Computer angelegt wurden.
Ist nur allgemeines, aber vielleicht kann man daraus schon was schließen und die Ursache finden. Hatte das Problem so wie gesagt noch nicht.
Lass mal hören was es war. Viel Glück
mfg redline
hatte diesen Fehler so leider bzw. zum Glück auch noch nicht.
Wenn du aber die supporttools von der Server installations CD installierst, kannst du einige Tests durchführen. Hier mal einige Befehle die dir eventuell mehr Aufschluss geben könnten:
Eingabeaufforderung öffnen:
dcdiag --> werden alle Tests ( Server CD) durchgeführt und fertiggestellt ?
nslookup --> hier siehst du ob Server name und Adresse korrekt sind
nltest /dsfgetsite --> wird der active Directory Standort gefunden
nltest /dclist --> hier sollten alle Domainen Kontroller angezeigt werden, ist er dabei?
net accounts --> du solltest hier eine primäre Computerrolle haben
net share --> es sind Freigaben nötig für die Fehlerfreie Funktion, hiermit kannst du überprüfen ob sie da sind. z.B. der Ordner Sysvol
Hoffe das hilft dir schon einmal weiter, meist sind diese tools ganz nützlich. Wie gesagt, für den Befehl dcdiag musst du erst die tools unter \support\tools auf der Server install CD installieren (Da findest du einen .msi Datei).
Ansonsten könntest du schauen ob ein Globaler Katalog besteht und alle Container (Computers, USers, ForeignSecurityPrinzipals,...) unter Acticve Directory Benutzer und Computer angelegt wurden.
Ist nur allgemeines, aber vielleicht kann man daraus schon was schließen und die Ursache finden. Hatte das Problem so wie gesagt noch nicht.
Lass mal hören was es war. Viel Glück
mfg redline
Hast Du denn eine "."-Zone in der DNS-Konsole? Ist Dein Server wirklich ein "Root"-Server für DNS - ich denke nicht ... Lösche diese Zone einfach,
Gruß
Atti
Gruß
Atti
Unter "Zwischengespeicherte Lookupvorgänge" finde ich die "." Zone, der Server ist natürlich kein Root-Server für DNS und ich wunderte mich auch schon warum die DNS forwader an die T-Online Name-Server so lange dauerten.
UPDATE:
Ich habe nun die Cache.DNS gelöscht. Nach einem Neustart des Servers ist die "." Zone allerdings wieder da, obwohl ich Forwarder nicht abgeschaltet habe und mein DNS-Server nicht als Root-Server agieren soll.
Wie kann ich die "." Zone dauerhaft verbannen?
UPDATE:
Ich habe nun die Cache.DNS gelöscht. Nach einem Neustart des Servers ist die "." Zone allerdings wieder da, obwohl ich Forwarder nicht abgeschaltet habe und mein DNS-Server nicht als Root-Server agieren soll.
Wie kann ich die "." Zone dauerhaft verbannen?
Die Server CD mit den Tools habe ich leider nicht da.
Bei nslookup erhalte ich:
Standardserver: localhost
Address: 127.0.0.1
Wenn ich allerdings nslookup www.test.de ausführe:
Server: localhost
Address: 127.0.0.1
Nicht-autorisierende Antwort:
Name: www.test.de.meinedomaene.de
Address: 83.133.49.233
Sollte das nicht anders sein?
Bei nslookup erhalte ich:
Standardserver: localhost
Address: 127.0.0.1
Wenn ich allerdings nslookup www.test.de ausführe:
Server: localhost
Address: 127.0.0.1
Nicht-autorisierende Antwort:
Name: www.test.de.meinedomaene.de
Address: 83.133.49.233
Sollte das nicht anders sein?
... in den Netzwerkkarteneinstellungen darf nicht 127.0.0.1 bei DNS-Server stehen sondern da muss zwingend die wirkliche IP eingetragen werden,
Gruß
Atti.
Gruß
Atti.
... wenn Du im DNS-Verwaltungs-Tool an der Stelle, an der Du Forward- und Reverse-Zone siehst, keine DNS-Zone "." hast, dann hast Du auch keine, nur dort könntest Du sie löschen. Hast Du denn eine Weiterleitung auf T-Online DNS-Server eingerichtet?
Gruß
Atti
Gruß
Atti
... wenn Du im DNS-Verwaltungs-Tool an der
Stelle, an der Du Forward- und Reverse-Zone
siehst, keine DNS-Zone "." hast,
dann hast Du auch keine, nur dort
könntest Du sie löschen. Hast Du
denn eine Weiterleitung auf T-Online
DNS-Server eingerichtet?
Gruß
Stelle, an der Du Forward- und Reverse-Zone
siehst, keine DNS-Zone "." hast,
dann hast Du auch keine, nur dort
könntest Du sie löschen. Hast Du
denn eine Weiterleitung auf T-Online
DNS-Server eingerichtet?
Gruß
Unter Forward und Reverse-Zonen finde ich keine "."-Zone, die ist also nur unter dem Cache-Bereich "Zwischengespeicherte Lookup-Vorgänge". Das ist dann normal oder?
Unter Weiterleitungen habe ich die beiden T-Online Nameserver angegeben: 194.25.2.129 und 217.5.100.129
Das sollte so korrekt sein, oder?
... in den Netzwerkkarteneinstellungen darf
nicht 127.0.0.1 bei
DNS-Server stehen sondern da muss zwingend
die wirkliche IP eingetragen werden,
Gruß
Atti.
nicht 127.0.0.1 bei
DNS-Server stehen sondern da muss zwingend
die wirkliche IP eingetragen werden,
Gruß
Atti.
Wenn ich bei der LAN-Verbindung anstatt 127.0.0.1 die 192.168.100.2 angebe, erhalte ich immer noch:
Server: server.meine domaene.de
Address: 192.168.100.2
Nicht-autorisierende Antwort:
Name: www.test.de.meine domaene.de
Address: 83.133.49.233
... Du müsstest schon mal den "nslookup"-Aufruf dazu schreiben - "test.de" solltest Du aber tunlichst vermeiden, da bekomme ich auch die "Nicht-autorisierende Antwort:" - nimm intern einen Client / Server und extern Google oder Yahoo.
Die Weiterleitung sollte OK sein. Welche IP steht denn auf den Clients für DNS?
Gruß
Atti
Die Weiterleitung sollte OK sein. Welche IP steht denn auf den Clients für DNS?
Gruß
Atti
Also direkt auf der CMD des DNS Servers erhalte ich:
>nslookup google.de
Server: server.intra.meinedomaene.de
Address: 192.168.100.2
Nicht-autorisierende Antwort:
Name: google.de.meinedomaene.de
Address: 83.133.49.233
Auf den Clients ist als DNS-Server IP die 192.168.100.2 angegeben.
>nslookup google.de
Server: server.intra.meinedomaene.de
Address: 192.168.100.2
Nicht-autorisierende Antwort:
Name: google.de.meinedomaene.de
Address: 83.133.49.233
Auf den Clients ist als DNS-Server IP die 192.168.100.2 angegeben.
Ich erhalte:
C:\>nslookup google.de
Server: MeinServer.MeineDomäne.com
Address: IP des Servers
Non-authoritative answer:
Name: google.de
Addresses: 216.239.39.104, 216.239.57.104, 216.239.59.104
Was mich bei Deiner Ausgabe wundert ist das ".meinedomaene.de hinter "google.de" ... Poste doch mal die Textdatei aus "ipconfig /all >C:\ipconfig.txt" auf dem Server,
Gruß
Atti
C:\>nslookup google.de
Server: MeinServer.MeineDomäne.com
Address: IP des Servers
Non-authoritative answer:
Name: google.de
Addresses: 216.239.39.104, 216.239.57.104, 216.239.59.104
Was mich bei Deiner Ausgabe wundert ist das ".meinedomaene.de hinter "google.de" ... Poste doch mal die Textdatei aus "ipconfig /all >C:\ipconfig.txt" auf dem Server,
Gruß
Atti
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : server
Primäres DNS-Suffix . . . . . . . : intra.meinedomaene.de
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : intra.meinedomaene.de
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C905B-TX)
Physikalische Adresse . . . . . . : 00-50-DA-4C-2E-8A
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.100.2
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.100.1
DNS-Server . . . . . . . . . . . : 192.168.100.2
Hostname . . . . . . . . . . . . : server
Primäres DNS-Suffix . . . . . . . : intra.meinedomaene.de
Knotentyp . . . . . . . . . . . . : Unbekannt
IP-Routing aktiviert . . . . . . : Ja
WINS-Proxy aktiviert . . . . . . : Ja
DNS-Suffixsuchliste . . . . . . . : intra.meinedomaene.de
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : 3Com EtherLink XL 10/100 PCI-TX-NIC (3C905B-TX)
Physikalische Adresse . . . . . . : 00-50-DA-4C-2E-8A
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.100.2
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.100.1
DNS-Server . . . . . . . . . . . : 192.168.100.2
... das sieht soweit alles normal aus, erklärt also immer noch nicht, woher der Anhang kommt 
... Kannst Du den DNS-Server nicht noch einmal de- und wieder installieren? Ich befürchte, Du hast an einer Schraube gedreht, die so nicht zu finden sein wird ...
Gruß
Atti
... Kannst Du den DNS-Server nicht noch einmal de- und wieder installieren? Ich befürchte, Du hast an einer Schraube gedreht, die so nicht zu finden sein wird ...Gruß
Atti
Könnte es nicht sein, dass ich nachher Probleme beim Wiedereinbinden des DNS in die Domäne habe... ich glaub das lass ich lieber.
... meinst Du, ich rate Dir zu Dingen, die Deine Umgebung abschießen oder Dein Netz auf Dauer in Schwierigkeiten bringen können? Ich habe das hier schon praktizieren müssen - in einer Umgebung mit Realtimekursen aus Bloomberg und Reuters - man muss nicht mal Booten ...
Gruß
Atti
Gruß
Atti
Ich habe genau die gleichen seltsamen DNS Einträge im Ereignissprotokoll.
Bei mir läuft allerdings ein DLink DI804HV als Internet Router und DHCP und der Windows 2003 SBS Server ist nur der Exchange bzw. FileServer.
Kann sein das bei der installation irgendetwas mit DHCP falsch gelaufen ist?
Bei mir läuft allerdings ein DLink DI804HV als Internet Router und DHCP und der Windows 2003 SBS Server ist nur der Exchange bzw. FileServer.
Kann sein das bei der installation irgendetwas mit DHCP falsch gelaufen ist?
Hallo alle zusammen.
Hab ihr dieses Problem nun lösen können?
mfg Thomas E.
Hab ihr dieses Problem nun lösen können?
mfg Thomas E.
Eine Neuinstallation mit Windows SBS R2 hat bei mir geholfen!
Wenn das immer nach einem Neustart auftaucht, dann kannst Du das ignorieren.
DNS möchte loslegen aber der Verzeichnisdienst ist noch nicht geladen bzw. da.
DNS möchte loslegen aber der Verzeichnisdienst ist noch nicht geladen bzw. da.
