wie lange darf Auflösung von SID zu Nam en dauern ? Probleme im Actice Directory
Holger Schmidt
kann mir jemand sagen wie lange die Auflösung in den
Sicherheitseinstellungen bei den Eigenschaften einer Datei dauern darf?
auf dem Server dauert es ca. 1/10 sec, auf den Clients dauert es
mindestens 30sec.
Umfeld:
upgedatete NT4 Domäne auf W2k Server (Server1, AD-DNS, WINS, DHCP aus,
PIII 1,2GHz 512MB),
noch 1 NT-BDC drin also gemischter Modus,
2. W2k DC vorhanden (Server2), hält ebenfalls den Globalen Katalog und
Active Directory AD-DNS
voll geswitchtes Netz, Netzwerk nicht ausgelastet,
Clients XP und W2k
ping <server> funktioniert einwandfrei und schnell.
Die Rechner sind einwandfrei im DNS registriert und werden in der
Konsole angezeigt.
die Migration ist erst Ende Januar gelaufen, die Ereignisanzeige des
Server1 hatte vor ein paar Tagen Fehlermeldungen im DNS Ereignisprotokoll:
-------------------------------
Die Aktualisierung oder das Hinzufügen der Domänennamen _ldap
in Zone meinedomaene.lokal im Verzeichnis konnte nicht durchgeführt werden.
Stellen Sie sicher, dass das Active Directory ordnungsgemäß
funktioniert und fügen Sie diese Domäne hinzu bzw. aktualisieren
Sie sie unter Verwendung der DNS-Konsole.
Die Ereignisdaten enthalten den Fehlercode.
Die Aktualisierung oder das Hinzufügen der Domänennamen gc
in Zone meinedomaene.lokal im Verzeichnis konnte nicht durchgeführt werden.
Stellen Sie sicher, dass das Active Directory ordnungsgemäß
funktioniert und fügen Sie diese Domäne hinzu bzw. aktualisieren
Sie sie unter Verwendung der DNS-Konsole.
Die Ereignisdaten enthalten den Fehlercode.
Die Aktualisierung oder das Hinzufügen der Domänennamen _gc
in Zone meinedomaene.lokal im Verzeichnis konnte nicht durchgeführt werden.
Stellen Sie sicher, dass das Active Directory ordnungsgemäß
funktioniert und fügen Sie diese Domäne hinzu bzw. aktualisieren
Sie sie unter Verwendung der DNS-Konsole.
Die Ereignisdaten enthalten den Fehlercode.
Der DNS-Server konnte Active Directory nicht öffnen.
Dieser DNS-Server ist für die Verwendung von Informationen vom
Verzeichnis für diese Zone konfiguriert und kann die Zone ohne
es nicht laden. Stellen Sie sicher, dass das Active Directory
ordnungsgemäß funktioniert, und laden Sie die Zone neu.
Die Ereignisdaten enthalten den Fehlercode.
-------------------------------
ausserdem haben beide Server eine Warnung im Dateireplikations-
dienstprotokoll
-------------------------------
Der Dateireplikationsdienst konnte die Replikation
von \\server1.meinedomaene.lokal nach server2 für
c:\winnt\sysvol\domain mit DNS-Namen \\server1.meinedomaene.lokal
nicht aktivieren. Es wird ein neuer Versuch gestartet.
Mögliche Ursachen für diese Warnung sind:
[1] Der DNS-Name \\server1.meinedomaene.lokal von diesem
Computer konnte nicht ausgewertet werden.
[2] Der Dateireplikationsdienst wird auf \\server1.meinedomaene.lokal
nicht ausgeführt.
[3] Die Topologieinformationen im Active Directory dieses Replikats
wurden noch nicht auf allen Domänencontrollern repliziert.
Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt.
Nachdem der Fehler behoben wurde, wird eine andere
Ereignisprotokollmeldung angezeigt, die bestätigt, dass die
Verbindung hergestellt wurde.
wo liegt hier mein Fehler ?
MfG Holger
Markus Bresch
läßt Du dynamischen DNS-Einträge in deinem Win2000 DNS-Server zu ?
Mach' erstmal den DNS-Server fit und kümmere Dich dann um die Sysvol
Replikation. Da geht ja noch einiges schief in Deinem System.
Markus
Holger Schmidt
> läßt Du dynamischen DNS-Einträge in deinem Win2000 DNS-Server zu ?
> Mach' erstmal den DNS-Server fit und kümmere Dich dann um die Sysvol
> Replikation. Da geht ja noch einiges schief in Deinem System.
gerne, nichts lieber als das, nur was ist faul ?
wo kann ich ansetzten, die Namensauflösung funktioniert,
ich hab eine Forward und eine Reverse Lookupzone, AD-integriert
eine Idee womit ich, nach was, suchen soll ?
wie korrigiere ich die Fehler _ldap, gc, _gc ?
Sind damit SRV-Einträge gemeint?
wäre es evtl. besser gewesen eine neue root domäne hochzuziehen und dann
die Konten der migrierten NT-Domäne zu transferieren ?
MfG Holger
Markus Bresch
die letzte Frage zuerst: Ich habe noch nie von NT auf 2000
migriert, kenne die Fehler, die Du beschreibst, aber auch
gut. Eine Neuinstallation schützt also auch nicht vor den
Fehlern.
> eine Idee womit ich, nach was, suchen soll ?
> wie korrigiere ich die Fehler _ldap, gc, _gc ?
> Sind damit SRV-Einträge gemeint?
Diese Fehler sind dynamische DNS-Eintragungen, die irgend-
welche Rechner nicht in den DNS Server schreiben können.
Also liegt der Fehler definitiv dort. Meist hat sich dort
irgendwas verklemmt beim DNS, was beim migieren gerne
passiert.
Also:
1.) Kontrollieren, ob der Win2000 DNS Server, der auf dem
DC läuft, als erster DNS-Server in den Netzwerkeinstellungen
auf jedem Rechner des AD (auch der Server selbst !) ein-
getragen ist.
2.) Kontrollieren, ob im DNS Server nicht evt. noch die Route-
Domäne (.) vorhanden ist.
3.) Anmeldedienst in Dienste beenden.
4.) Eigene Domäne im DNS Server löschen.
5.) Eigene Domäne im DNS-Server als AD-integrierte von Hand neu
erstellen (richtiger Name ....).
6.) Dienst des DNS-Server beenden und neu starten.
7.) Anmeldedienst in Dienste starten.
8.) Dynamische Eintragungen im DNS Server wieder zulassen.
Nach dem Starten des Anmeldedienstes sollten die Unterzweige
unter der von Hand erstellten Domäne wieder vom System neu
angelegt werden.
Ähnliches kannst Du auch im Reverse-Lookup machen. Dort einfach
mal den Zweig löschen und neu anlegen.
Fehler vom Typ DNS sollten dann erstmal der Vergangenheit angehören.
Markus
Holger Schmidt
>> eine Idee womit ich, nach was, suchen soll ?
>> wie korrigiere ich die Fehler _ldap, gc, _gc ?
>> Sind damit SRV-Einträge gemeint?
>
> Diese Fehler sind dynamische DNS-Eintragungen, die irgend-
> welche Rechner nicht in den DNS Server schreiben können.
> Also liegt der Fehler definitiv dort. Meist hat sich dort
> irgendwas verklemmt beim DNS, was beim migieren gerne
> passiert.
war, nur meine Jungs und ich weiss nicht was die gemacht haben.
mittlerweile sind alle Eintragungen einwandfrei vorhanden, und zwar von
beiden Servern, es kommen keine Fehlermeldungen mehr. die DNS Abfrage
funktioniert ja auch einwandfrei (ping)
kann ich die folgenden Schritte ohne Bedenken durchführen (Produktivsystem)
> Also:
> 1.) Kontrollieren, ob der Win2000 DNS Server, der auf dem
> DC läuft, als erster DNS-Server in den Netzwerkeinstellungen
> auf jedem Rechner des AD (auch der Server selbst !) ein-
> getragen ist.
ja, ist
> 2.) Kontrollieren, ob im DNS Server nicht evt. noch die Route-
> Domäne (.) vorhanden ist.
root - domäne ist definitiv gelöscht, allerdings ist da die
"Zwischengespeicherte Lookupvorgänge" vorhanden
> 3.) Anmeldedienst in Dienste beenden.
ichhabe ja mittlerweiele 2 Server, auf beiden durchführen?
oder erst den 2. DNS deinstallieren ?
> 4.) Eigene Domäne im DNS Server löschen.
> 5.) Eigene Domäne im DNS-Server als AD-integrierte von Hand neu
> erstellen (richtiger Name ....).
> 6.) Dienst des DNS-Server beenden und neu starten.
> 7.) Anmeldedienst in Dienste starten.
> 8.) Dynamische Eintragungen im DNS Server wieder zulassen.
der 2. DNS sagt er wäre nicht konfiguriert wenn man im DNS Manager auf
den Server klickt, er lässt eine Konfiguration zu, wenn ich jedoch
server1 eintragen will sagt er, er könne den Remote DNS nicht finden.
dennoch sind im 2. DNS Server die Forward- sowie die Reverselookupzone
vorhanden und auch mit aktuellen Daten gefüllt.
>
> Nach dem Starten des Anmeldedienstes sollten die Unterzweige
> unter der von Hand erstellten Domäne wieder vom System neu
> angelegt werden.
werde ich versuchen, allerdings dann erst am Wochenende