none
DNS Problem Hosteintrag löschen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    wir haben einen neuen Domaincontroller (readonly) an einen remote Standort in Betrieb genommen.
    Aufgesetzt bzw. repliziert habe ich den neuen DC am Hauptstandort, weil die WAN-Strecke nicht die schnellste ist.
    Vor dem Herunterfahren des neuen DC habe ich natürlich die IP-Konfiguration angepasst an den neuen Standort.
    Unser Problem ist nun, dass unter Eigenschaften der DNS-Zone(n) noch die alte IP drin steht und sie läßt sich nicht löschen.
    Er fragt, ob der alte Hosteintrag gelöscht werden soll und dann hängt sich die Konsole auf.

    Ich sehe nirgends den alten Hosteintrag im DNS.
    Warum steht immer noch der alte Hosteintrag in der Liste der Nameserver ?
    Verstehe nicht welches Problem besteht.

    Im Event-Log des neuen DCs finde ich diese Meldung:
    (192.168.54.11 ist die korrekte IP)

    Der DNS-Server konnte den Socket für die Adresse 192.168.54.11 nicht öffnen.
    Überprüfen Sie, ob diese IP-Adresse auf dem Servercomputer gültig ist. Verwenden Sie im DNS-Manager das Eigenschaftenfenster des Servers und dort die Registerkarte "Schnittstellen", um diese Adresse gegebenenfalls von der Adressliste zu entfernen. Starten Sie den DNS-Server danach erneut. (Falls diese Adresse die einzige IP-Schnittstelle auf diesem Computer war, konnte der DNS-Server wahrscheinlich aufgrund dieses Fehlers nicht starten. In diesem Fall entfernen Sie den Eintrag "ListenAddress" in der Registrierung unter "\Services\DNS\Parameters", und führen Sie einen Neustart durch.)

    Viele Grüße
    Roland

    Mittwoch, 18. Juni 2014 13:02
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ein RODC ist nur selten eine gute Wahl. Warum habt ihr einen solchen eingerichtet? Wäre es eine Option, auf einen schreibbaren DC umzusteigen?

    Da es sich wahrscheinlich um eine AD-integrierte DNS-Zone handelt, können die DNS-Einträge nur auf einem schreibbaren DNS-Server geändert werden. Dazu ist es notwendig, dass die DNS-Konfiguration auf dem RODC passt. Nach deiner Beschreibung ist nicht auszuschließen, dass hier nicht die nötige Sorgfalt angesetzt wurde.

    Gruß, Nils

    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    • Als Antwort vorgeschlagen Meinolf Weber Mittwoch, 18. Juni 2014 13:10
    • Als Antwort markiert Roland_Schmid Mittwoch, 18. Juni 2014 18:54
    Mittwoch, 18. Juni 2014 13:06
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    ein RODC ist nur selten eine gute Wahl. Warum habt ihr einen solchen eingerichtet? Wäre es eine Option, auf einen schreibbaren DC umzusteigen?

    Da es sich wahrscheinlich um eine AD-integrierte DNS-Zone handelt, können die DNS-Einträge nur auf einem schreibbaren DNS-Server geändert werden. Dazu ist es notwendig, dass die DNS-Konfiguration auf dem RODC passt. Nach deiner Beschreibung ist nicht auszuschließen, dass hier nicht die nötige Sorgfalt angesetzt wurde.

    Gruß, Nils

    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    • Als Antwort vorgeschlagen Meinolf Weber Mittwoch, 18. Juni 2014 13:10
    • Als Antwort markiert Roland_Schmid Mittwoch, 18. Juni 2014 18:54
    Mittwoch, 18. Juni 2014 13:06
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ja, es handelt sich um AD-integrierte DNS-Zonen. Der RODC hat an einem anderen Standort gut geklappt.
    Deshalb haben wir ihn wieder gewählt.

    Ist es möglich nachträglich auf einen schreibbaren DC umzusteigen ?
    (und wenn ja wie)

    Viele Grüße
    Roland


    wenn ich die Suchergebnisse aus Google richtig verstehe, kann man einen RODC nicht in einen schreibbaren DC konvertieren. Der einzige Weg scheint zu sein AD entfernen und neu als schreibbaren DC installieren
    • Bearbeitet Roland_Schmid Mittwoch, 18. Juni 2014 13:46 Ergänzung
    Mittwoch, 18. Juni 2014 13:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    völlig korrekt, einen RODC kann man nur durch Herunterstufen und Heraufstufen zum Schreibbaren DC machen. Das ist ja aber nun auch kein ernsthafter Aufwand.

    Gibt es denn auch handfeste Gründe für einen RODC? Wenn nein, dann rate ich entschieden davon ab.

    Was dein DNS-Problem betrifft: Dazu fehlen noch einige Details, aber sehr wahrscheinlich ist die DNS-Konfiguration des RODC nicht passend. Er sollte selbst als primären DNS-Server einen schreibbaren DC an einem anderen Standort eingetragen haben und höchstens als zweiten Eintrag sich selbst.

    Gruß, Nils

    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Mittwoch, 18. Juni 2014 15:16
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    das Motiv für den RODC war zu verhindern, dass der Admin vor Ort nichts an der Domäne
    "kaputt konfigurieren" kann.

    Ja, am DNS des betrefffenden RODC ist unpassend. Es steht die alte IP als Nameserver drin.
    Denke herunterstufen und wieder heraufstufen ist die beste Weg.
    Muss in diesem Fall die Active Directory Partition repliziert werden bis die Freigaben netlogon und syslog erzeugt werden. Ja oder ? Die WLAN-Strecke ist nicht super super schnell.

    Danke für die Tipps.

    Viele Grüße
    Roland

    Mittwoch, 18. Juni 2014 18:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bei schlechter Verbindung bietet sich IFM an http://technet.microsoft.com/de-de/library/cc816722(v=ws.10).aspx

    Wie ist den Eure "Schnelligkeit" und wie groß ist die Datenmenge von SYSVOL-NETLOGON-NTDS.DIT?

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Donnerstag, 19. Juni 2014 10:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    die WAN-Verbindung gibt ca. 10 Mbit/s her.
    SYSVOL-NETLOGON-NTDS.DIT machen ca. 3 GB an Daten aus.

    IFM ist natürlich auch eine Möglichkeit.

    Viele Grüße
    Roland

    Donnerstag, 19. Juni 2014 15:43
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 19.06.2014 schrieb Roland_Schmid:

    die WAN-Verbindung gibt ca. 10 Mbit/s her.
    SYSVOL-NETLOGON-NTDS.DIT machen ca. 3 GB an Daten aus.

    Bald ist WE, am Freitag Abend/Nachmittag die Aktion starten.

    Servus
    Winfried

    Gruppenrichtlinien
    WSUS Package Publisher
    HowTos zum WSUS Package Publisher
    NNTP-Bridge für MS-Foren

    Donnerstag, 19. Juni 2014 17:56
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    SYSVOL-NETLOGON-NTDS.DIT machen ca. 3 GB an Daten aus.

    oha, was habt ihr da denn alles drin liegen? 3 GB ist schon sehr groß.

    Gruß, Nils

    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Freitag, 20. Juni 2014 06:31
    |
  • Question
    Anmelden
    0
    Anmelden
    oha, was habt ihr da denn alles drin liegen? 3 GB ist schon sehr groß.

    Hallo,

    unter profiles im sysvol ist ein benutzerprofil sehr groß (Administrator).
    C:\Windows\SYSVOL\domain\profiles

    Warum ist das profil Administrator mit enthalten im sysvol ?
    Vielleicht komme ich ja doch noch auf eine kleine Datenmenge, die repliziert werden muss.

    Viele Grüße
    Roland

    Freitag, 20. Juni 2014 10:23
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    Profile haben im Sysvol nichts zu suchen! Vermutlich ist beim Profilpfad des Users die NETLOGON-Freigabe eingetragen. Oder es hat jemand die uralte NT-Technik zum Verteilen von Default Profiles verwendet, die aber schon seit ewigen Zeiten nicht mehr supportet ist.

    Seht zu, dass ihr alle Daten aus NETLOGON und SYSVOL entfernt, die nicht dorthin gehören. Diese Freigaben sind nur für Gruppenrichtlinien sowie evtl. für Anmeldeskripte da (wobei man die Skripte auch woanders lagern oder durch GPP ersetzen sollte), für nichts anderes. Einen der Gründe hast du ja grad vor dir ...

    Gruß, Nils

    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Freitag, 20. Juni 2014 10:37
    |
  • Question
    Anmelden
    0
    Anmelden
    Seht zu, dass ihr alle Daten aus NETLOGON und SYSVOL entfernt, die nicht dorthin gehören. Diese Freigaben sind nur für Gruppenrichtlinien sowie evtl. für Anmeldeskripte da (wobei man die Skripte auch woanders lagern oder durch GPP ersetzen sollte), für nichts anderes. Einen der Gründe hast du ja grad vor dir ...

    Hallo,

    wenn ich das Profil aus sysvol lösche wird gewarnt, dass die Freigabe gelöscht wird. Die sysvol Freigabe kann ich ja nicht entfernen.
    Im Profilpfad des User steht nicht drin und unsere Domäne fing mit Windows 2000 an.
    Mir ist nicht ganz klar, wie ich das Profil "Administrator" aus dem sysvol lösche ohne die Freigabe zu entfernen.

    Viele Grüße
    Roland

    Freitag, 20. Juni 2014 17:29
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    hast Du die Freigaben auf jeden Ordner überprüft und geht es wirklich um die SYSVOL Freigabe oder ist der Ordner des Benutzers freigegeben da dort "Freigabename: Administrator" steht?

    Habt Ihr in irgendwelchen Richtlinien die Freigabe "Administrator" in Gebrauch?

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Freitag, 20. Juni 2014 17:58
    |