Keine Domänenanmeldung mehr möglich
Harald malek
ich hab 2 DomänenController.
Wenn ich den mit der "Master Rolle" abschalte, kann man sich nicht mehr an
der Domäne anmelden! Starte ich diesen wieder, funktionierts wieder!
Fehlermeldungen seh ich leider keine!
Gibt es ein Tool öder ähnliches, wie ich nachschauen kann, ob mit den beiden
DC alles ok ist?
Andy Wendel
hat der 2. Server:
Global Catalog?
DNS? ( und wenn 2003: sich selber als ersten DNS eingetragen?/ bei 2000 sich
selber als 2. DNS eingetragen?)
Tools zum testen:
dcdiag siehe: http://www.admins-tipps.de/MS-Tutorials/Active_Directory/%DCberpr%FCfen_des_Active_Directory_auf_korrekte_Funktion/2.htm
netdiag siehe: http://support.microsoft.com/kb/321708/de
Bitte mache auf beiden Dcs mal ein ipconfig /all >c:\dc1.txt und poste das
hier...
Gruß
Andy
*****************************************************
Andy Wendel
Senior Trainer and Consultant
TraiCen Computer Training & Consulting GmbH
Münsterstraße 111
48155 Münster
Tel.: +49 (0)25 06 / 93 22 39
Andy....@traicen.com
http://www.traicen.com
*****************************************************
![Profilbild von Yusuf Dikmenoglu [MVP]](http://lh3.googleusercontent.com/a-/ACB-R5RKOyerlNKsCo5KutM6ZP93bFCXXUoJQCECZuDY=s40-c)
Yusuf Dikmenoglu [MVP]
"Harald malek" wrote:
> Gibt es ein Tool öder ähnliches, wie ich nachschauen kann, ob mit den beiden
> DC alles ok ist?
ja, die gibt es zwar (z.B. DCDIAG und NetDIAG aus den Windows Support Tools,
die sich wiederum auf der Windows Server 2003 CD im Ordner Support/Tools
befinden), aber Du wirst diese nicht brauchen.
Ist auf dem zweiten DC auch das DNS installiert und ist auf diesem der
globale Katalog aktiviert?
Falls nicht, installiere das DNS und warte die Replikation ab.
Wenn man auf einem weiteren Domänencontroller den GC aktivieren möchte, so
gilt es das Snap-In "Standorte- und Dienste" aufzurufen, den Standort in dem
sich der Domänencontroller befindet auszuwählen, den Server zu erweitern
damit dann in den NTDS-Eigenschaften der Haken für den globalen Katalog
gesetzt werden kann.
http://blog.dikmenoglu.de/PermaLink,guid,3dc2b382-f818-45ce-bcd2-f86922196585.aspx
--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Windows Server
Blog: http://blog.dikmenoglu.de
http://www.faq-o-matic.net
Harald malek
dies ist wohl nicht so!
ist da nicht besser, wenn ich gleich auf beiden DCs auch beide DNS IPs
eintrage?
hier der 1. DC:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : NCHBADS1
Primäres DNS-Suffix . . . . . . . : druckerei.beck.net
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : druckerei.beck.net
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physikalische Adresse . . . . . . : 00-11-43-59-4E-A5
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.10.100.120
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.10.78.103
DNS-Server . . . . . . . . . . . : 10.10.100.120
Primärer WINS-Server . . . . . . : 10.10.8.51
Sekundärer WINS-Server . . . . . : 10.10.8.41
hier der 2. DC:
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : NCHBADS2
Primäres DNS-Suffix . . . . . . . : druckerei.beck.net
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : druckerei.beck.net
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
Physikalische Adresse . . . . . . : 00-11-43-59-4D-CF
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 10.10.100.121
Subnetzmaske . . . . . . . . . . : 255.255.0.0
Standardgateway . . . . . . . . . : 10.10.78.103
DNS-Server . . . . . . . . . . . : 10.10.100.120
Primärer WINS-Server . . . . . . : 10.10.8.51
Sekundärer WINS-Server . . . . . : 10.10.8.41
Yusuf Dikmenoglu [MVP]
"Harald malek" wrote:
> dies ist wohl nicht so!
Was ist "wohl nicht so"?
Ist auf dem DC2 der globale Katalog aktiviert und das DNS installiert?
> ist da nicht besser, wenn ich gleich auf beiden DCs auch beide DNS IPs
> eintrage?
Die einzelnen Varianten die man einstellen kann, kannst Du hier sehen:
http://blog.dikmenoglu.de/PermaLink,guid,24f40242-9e27-4bff-b8dd-56926af48bc6.aspx
Als sekundären DNS-Server kannst Du jederzeit den DC selbst mit seiner
echten IP eintragen.
Harald malek
mein Antwort war für die Post vom Andy Wendel!
zu Deiner Frage, DNS ist installiert und der global Katalog aktiviert
Yusuf Dikmenoglu [MVP]
"Harald malek" wrote:
> zu Deiner Frage, DNS ist installiert und der global Katalog aktiviert
Dann kontrolliere auf dem DC2 das DNS ob alle Einträge (SRV) vorhanden sind.
Denn der Client braucht die folgenden vier Einträge:
_gc
_kerberos
_ldap
_kpasswd
Überprüfe ob die Replikation läuft.
Weiterhin solltest Du einen Blick ins Eventlog riskieren.
Dann kannst Du noch die Windows Support Tools installieren und die beiden
Tools DCDIAG sowie NetDIAG laufen lassen:
Domänencontroller mit DCDIAG prüfen
http://www.faq-o-matic.net/content/view/268/45/
Domänencontroller Diagnose mit NETDIAG
http://blog.dikmenoglu.de/PermaLink,guid,60e9f5d6-250b-4957-a2e4-8fec2fa94cc5.aspx
Nils Kaczenski [MVP]
Andy Wendel schrieb:
> *****************************************************
> Andy Wendel
> Senior Trainer and Consultant
[ausführliche Firmendaten]
kannst du deinen Footer etwas eindampfen? Danke.
(Schöne Grüße übrigens, ich habe bei euch jahrelang geschult. ;-))
Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das MVP-Server-Buch: http://www.faq-o-matic.net/content/view/253/2/
Andy Wendel
> Als sekundären DNS-Server kannst Du jederzeit den DC selbst mit seiner
> echten IP eintragen.
was leider nicht ganz richtig ist - siehe DNS becomes an island.
Stimmt so nur bei Win2003...
Gruß aus Münster
Andy
Andy Wendel
>> *****************************************************
>> Andy Wendel
>> Senior Trainer and Consultant
> [ausführliche Firmendaten]
>
> kannst du deinen Footer etwas eindampfen? Danke.
>
> (Schöne Grüße übrigens, ich habe bei euch jahrelang geschult. ;-))
>
> Schöne Grüße, Nils
>
Hi Nils,
habe ich ausgerichtet - Claudia (Langer) kennt Dich auch noch....
Hoffe, wir sehen uns mal....
Footer wird gekürzt - aber nur für ehemalige Mitarbeiter :-)
Andy
Yusuf Dikmenoglu [MVP]
"Andy Wendel" wrote:
> siehe DNS becomes an island.
naja, der sekundäre DNS wird schließlich nur in einem Ausnahmefall benutzt.
In der Regel, wird der "Bevorzugte DNS-Server" verwendet.
Andy Wendel
ähh - verstehe ich da was nicht?
Auf NIC des Servers trage ich die DNS-Server ein - OK...
Mache ich das auf dem 2. Server wie Du beschrieben hast - verliere ich irgendwann
die DNS-Einträge.
Wenn die Clients dann ( weil der erste nicht antwortet ) den 2. fragen -
kann der auch nicht mit Einträgen antworten - weil er keine DNS-Einträge
mehr hat...
siehe meinen Webcast dazu: http://www.microsoft.com/germany/events/eventdetail.aspx?EventID=1032296345
Gruß
Andy
Yusuf Dikmenoglu [MVP] at
> ähh - verstehe ich da was nicht?
Ahh... jetzt denke ich, weiß ich was Du meinst.
Du zielst wohl auf diesen Satz in meinem Artikel:
> Man kann jeden DC als DNS-Server installieren,
> wo jeder sich selbst als ersten und einzigsten DNS-Server eingetragen hat
OK, da muss ich nachfeilen.
Aber...
Du sagst im Webcast, das unter Windows Server 2003
Zitat: "Im ersten Eintrag auf der Netzwerkkarte auf sich selbst
(alle Server)-und im 2. Eintrag und allen folgenden auf die
anderen Server (Redundanz)" /Zitatende.
Diese Einstellung ist ebenfalls ungeschickt.
Stichwort: Inseleffekt vermeiden:
http://www.microsoft.com/germany/technet/itsolutions/network/grundlagen/tec_comp_2_3_1.mspx#EJB
--
Regards from Mainz/Germany
Andy Wendel
was leider nicht ganz richtig ist - siehe:
http://support.microsoft.com/kb/825036
Gruß
Andy
Yusuf Dikmenoglu [MVP]
"Andy Wendel" wrote:
> was leider nicht ganz richtig ist - siehe:
> http://support.microsoft.com/kb/825036
Na jetzt aber...
Den Artikel habe ich auch auf meiner Seite und auch unter 2003 wird als
erster DNS-Server ein anderer/zentraler DNS-Server Eintrag empfohlen.
(siehe vorherigen Link: Inseleffekt vermeiden)
Und im übrigen steht in Deinem genannten Artikel ebenfalls:
"Der bevorzugte DNS-Server wird in den TCP/IP-Eigenschaften auf den
einzelnen Domänencontrollern so konfiguriert, dass er sich selbst als
primären DNS-Server verwendet."
--
Regards from Rhein-Main/Germany
Andy Wendel
> "Der bevorzugte DNS-Server wird in den TCP/IP-Eigenschaften auf den
> einzelnen Domänencontrollern so konfiguriert, dass er sich selbst als
> primären DNS-Server verwendet."
JA - der ERSTE (installierte ) DC - alle anderen NICHT....
Also: Bei Windows 2000: Erster auf sich selbst - die anderen auf jeweils
andere - oder komplett gekreuzt.
Win2003: egal
Gruß
Andy
Yusuf Dikmenoglu [MVP]
Das steht so nicht in dem Artikel (http://support.microsoft.com/kb/825036)
drin.
Ich zitiere mal in englisch aus dem Artikel:
> Configure the Preferred DNS server in TCP/IP properties
>_on_each_Domain_Controller< to use itself as Primary DNS Server
^^^^^^^^^^^^^^^^^^^^
Ich lese das nicht heraus, dass es NUR auf dem ersten DC so sein muss.
Andy Wendel
et wird langsam lustig - irgendwie reden wir aneinander vorbei ( soll es
ja geben...):
Ich zitiere:
Domänencontroller mit installiertem DNS
Für Domänencontroller, die auch als DNS-Server fungieren, empfiehlt Microsoft,
die DNS-Clienteinstellungen des Domänencontrollers den folgenden Spezifikationen
entsprechend zu konfigurieren:
• Ist der Server der erste und einzige Domänencontroller, den Sie in der
Domäne installiert haben, und wird auf diesem Server DNS ausgeführt, konfigurieren
Sie die DNS-Clienteinstellungen so, dass sie auf die IP-Adresse des ersten
Servers verweisen. Beispielsweise müssen Sie die DNS-Clienteinstellungen
so konfigurieren, dass er auf sich selbst verweist. Listen Sie keine weiteren
DNS-Server auf, es sei denn, sie haben einen weiteren Domänencontroller,
der in dieser Domäne als Host für DNS fungiert.
• Während des DCPromo-Vorgangs müssen Sie weitere Domänencontroller so konfigurieren,
dass sie auf einen anderen Domänencontroller verweisen, der in ihrer Domäne
und ihrem Standort DNS ausführt und als Host für den Namespace der Domäne
fungiert, in der der neue Domänencontroller installiert wird, oder bei Verwendung
eines DNS eines Fremdanbieters auf einen DNS-Server verweist, der als Host
der Zone für die Active Directory-Domäne dieses Domänencontrollers fungiert.
Konfigurieren Sie den Domänencontroller nicht für die Verwendung seines eigenen
DNS-Dienstes für die Namensauflösung, bevor Sie überprüft haben, dass sowohl
die eingehende als auch die ausgehende Active Directory-Replikation funktioniert
und aktuell ist. Anderenfalls kann es zu DNS-"Inseln" kommen. Weitere Informationen
zu DNS-Inseln finden Sie in "Chapter 2 - Structural Planning for Branch Office
Environments" (Kapitel 2 - Planen der Struktur für Zweigstellenumgebungen)
im Abschnitt "Planning" (Planung) des Windows 2000 Server Active Directory
Branch Office Guide auf der folgenden Microsoft-Website:
http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/branchoffice/default.asp
(http://www.microsoft.com/windows2000/techinfo/planning/activedirectory/branchoffice/default.asp)
Weitere Informationen zu einem verwandten Thema finden Sie im folgenden Artikel
der Microsoft Knowledge Base:
275278 (http://support.microsoft.com/kb/275278/DE/) Wenn Controller für die
_msdcs.ForestDnsName-Domäne zu es auf Domäne zeigt, wird DNS-server eine
Insel
• Nachdem Sie sich vergewissert haben, dass die Replikation erfolgreich abgeschlossen
wurde, kann das DNS auf den einzelnen Domänencontrollern auf zweierlei Weise
konfiguriert werden, abhängig von den Anforderungen der Umgebung. Folgende
Konfigurationsoptionen stehen zur Auswahl: • Der bevorzugte DNS-Server wird
in den TCP/IP-Eigenschaften auf den einzelnen Domänencontrollern so konfiguriert,
dass er sich selbst als primären DNS-Server verwendet.
• Vorteile:
Gewährleistet, dass DNS-Abfragen, die vom Domänencontroller kommen, nach
Möglichkeit lokal aufgelöst werden. Minimiert die Auswirkungen der DNS-Abfragen
des Domänencontrollers im Netzwerk.
• Nachteile:
Es hängt von der Active Directory-Replikation ab, dass sichergestellt werden
kann, dass die DNS-Zone aktuell ist. Andauernde Replikationsfehler können
dazu führen, dass die Einträge in der Zone unvollständig sind.
• Alle Domänencontroller werden so konfiguriert, dass sie einen zentralen
DNS-Server als ihren bevorzugten DNS-Server verwenden.
• Vorteile:
• Minimiert die Abhängigkeit von der Active Directory-Replikation bei DNS-Zonenaktualisierungen
von Domänencontroller-Locatoreinträgen. Dies beinhaltet eine schnellere Erkennung
neuer oder aktualisierter Domänencontroller-Locatoreinträge, da zeitliche
Verzögerungen bei der Replikation keine Rolle spielen.
• Bietet einen einzigen autorisierenden DNS-Server, was bei der Behebung
von Active Directory-Replikationsproblemen hilfreich sein kann.
• Nachteile:
• Stärkere Netzwerkbelastung bei der Auflösung von DNS-Abfragen, die vom
Domänencontroller kommen.
• Die DNS-Namensauflösung kann von der Netzwerkstabilität abhängen; wenn
die Verbindung zum bevorzugten DNS-Server verloren geht, so können DNS-Abfragen
vom Domänencontroller nicht aufgelöst werden. Das kann zu einem scheinbaren
Verlust der Verbindung führen, auch zu Standorten, zu denen die Verbindung
nicht über das verlorene Netzwerksegment geht.
• Eine Kombination der zwei Strategien ist möglich, wobei der Remote-DNS-Server
als bevorzugter DNS-Server festgelegt wird und der lokale Domänencontroller
als alternativer Server (oder umgekehrt). Zwar hat diese Strategie viele
Vorteile, es gibt jedoch Faktoren, die vor dieser Konfigurationsänderung
berücksichtigt werden sollten:• Der DNS-Client verwendet nicht alle in der
TCP/IP-Konfiguration aufgeführten DNS-Server bei jeder Abfrage. Standardmäßig
versucht der DNS-Client beim Start, den Server zu verwenden, der als bevorzugter
DNS-Server angegeben ist. Wenn dieser Server aus irgendeinem Grund nicht
reagiert, wechselt der DNS-Client zu dem Server, der als alternativer DNS-Server
angegeben ist. Der DNS-Client verwendet diesen alternativen DNS-Server, bis
• er nicht auf eine DNS-Abfrage reagiert, oder
• der Wert "ServerPriorityTimeLimit" erreicht ist (standardmäßig 15 Minuten).
Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge
Base:
OK?
Andy
![Profilbild von Steinsdorfer Walter [MVP Exchange Server]](http://lh3.googleusercontent.com/a-/ACB-R5SCPh9Fvk2cOtUl-a0uHHZ2Ul0F4DRcqjKBZp_s=s40-c)
Steinsdorfer Walter [MVP Exchange Server]
Yusuf Dikmenoglu [MVP] wrote:
> "Andy Wendel" wrote:
>>> "Der bevorzugte DNS-Server wird in den TCP/IP-Eigenschaften auf den
>>> einzelnen Domänencontrollern so konfiguriert, dass er sich selbst
>>> als primären DNS-Server verwendet."
>>
>> JA - der ERSTE (installierte ) DC - alle anderen NICHT....
>>
>> Also: Bei Windows 2000: Erster auf sich selbst - die anderen auf
>> jeweils andere - oder komplett gekreuzt.
>
> Das steht so nicht in dem Artikel
> (http://support.microsoft.com/kb/825036) drin.
> Ich zitiere mal in englisch aus dem Artikel:
>
>> Configure the Preferred DNS server in TCP/IP properties
>> _on_each_Domain_Controller< to use itself as Primary DNS Server
>> ^^^^^^^^^^^^^^^^^^^^
>
> Ich lese das nicht heraus, dass es NUR auf dem ersten DC so sein muss.
ich zitiere mal aus dem deutschen Artikel: "empfohlene Verfahrensweise".
Wichtig ist das der DC beim Hochfahren einen für seine AD-Zone
authoritativen DNS findet. Ob die lokal liegt oder auf einem anderen Server
ist "schnurzpiepwurschtegal" (tschuldigung für den Ausdruck). Funktionieren
muss es halt.
Die Empfehlung für den ersten Server sich selbst zu nehmen rührt wohl daher
das es ja noch keinen anderen gibt. Für die weiteren einen anderen
einzutragen daher das man dann den "kritischen" Fehler beim Hochfahren
vermeidet (sieht halt besser aus). Halte ich aber wenn man mehr als 3 hat
für kritisch, weil man dann ganz sicher gehen muss beim Booten. Deswegen mag
ich lieber bei jedem DC das er mit seiner IP dort drinsteht.
Just my2Cents.
--
Viele Grüße aus München
Walter Steinsdorfer, MVP Exchange Server
https://mvp.support.microsoft.com/default.aspx/profile=38EDD774-907A-4F8B-9D09-715C7782F6AD
Windows 2003 die Expertentipps:
http://www.faq-o-matic.net/content/view/253/2/
Andy Wendel
> ich lieber bei jedem DC das er mit seiner IP dort drinsteht.
> Just my2Cents.
jau - bei 2003 - nischt bei 2000...
Andy
just-my-to-euros
Yusuf Dikmenoglu [MVP]
"Andy Wendel" wrote:
> et wird langsam lustig -
Jaa, das finde ich auch...
> irgendwie reden wir aneinander vorbei ( soll es ja geben...):
Ich habe davon gehört, das sowas mal vorkommen soll.
[Es folgen Absätz aus diesem Artikel: http://support.microsoft.com/kb/825036]
Ich bleibe trotzdem dabei:
Ich lese das nicht heraus (http://support.microsoft.com/kb/825036),
dass es NUR auf dem allerersten DC so sein muss.
EOD für mich.
Andy Wendel
OK - 2 Meinungen - kein Merge - OK.
Schade das das dann EOD ist.
Was solls...
Andy
*****************************************************
Andy Wendel
Senior Trainer and Consultant
TraiCen Computer Training & Consulting GmbH
48155 Münster
Andy....@traicen.com
*****************************************************
Nils Kaczenski [MVP]
Andy Wendel schrieb:
> *****************************************************
> Andy Wendel
> Senior Trainer and Consultant
> TraiCen Computer Training & Consulting GmbH
> 48155 Münster
> Andy....@traicen.com
> *****************************************************
... dann war da noch die Sache mit den Firmendaten in der Signatur.
Andy Wendel
Voila - aber nur, weil Du lieb gefragt hast - und nen ehemaliger Kollege
bist ;-)
Andy
*****************************************************
Andy Wendel
Senior Trainer and Consultant
Andy....@traicen.com
*****************************************************
Yusuf Dikmenoglu [MVP]
"Andy Wendel" wrote:
> OK - 2 Meinungen - kein Merge - OK.
OK, dann ein Angebot das per Mail bzw. MSN zu klären.
Da es hier etwas drunter und drüber ging.
Nils Kaczenski [MVP]
Andy Wendel schrieb:
> Voila - aber nur, weil Du lieb gefragt hast
sehr nett. ;-)
> und nen ehemaliger Kollege bist ;-)
Naja, fast. Ich war halt bei LM, aber das war damals fast dasselbe wie
bei euch zu sein. ,-)
Schönes Wochenende, Nils