none
problem mit redundantem DNS und DHCP RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Ich habe in einer W2008 Domäne bislang einen DC mit DNS und DHCP genutzt.

    Zur Redundanz wurde jetzt ein zweiter DC mit den FSMO-Rollen installiert + dNS und DHCP. Der DHCP wurde mit einem geteilte Bereich ausgestattet.

    Leider scheint es trotzdem zu klemmen. Testweise ist jetzt der erste DC aus, damit sollte alles redundant über den 2. DC laufen

    1. Problem: Meist bekommen die Clients keine IP, obwohl der redundante DHCP online ist.

    2. Ein Notebook, der wahrscheinlich seine IP vom ersten DC bekam, hat jetzt trotz wiederholtem Reboot die alte IP  - ich hätte erwartet, daß der Notebook ein neue IP aus dem 20%-Teil der 80/20-Aufteilung erhält.

    Ausserdem wird als DHCP in ipconfig /all trotzdem der ERSTE DC als DHCP gelistet, nicht aber die IP des zweiten. Dennoch hat der Notebook jetzt die DNS bekommen (d.h die IPs BEIDER DCs) .

    Soweit scheint also zumindest teilweise etwas zu funktionieren.

    Wenn ich jetzt probiere mich am Notebook mit einem selten genutzten Administrator-Konto anzumelden, geht auch das nicht. Für mich ein Zeichen, daß der 2. DC seinen Job nicht richtig macht.

    kann mir jeman helfen ?

    Sonntag, 28. April 2013 21:54
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Am 28.04.2013 schrieb NicoNi:

    Zur Redundanz wurde jetzt ein zweiter DC mit den FSMO-Rollen installiert + dNS und DHCP. Der DHCP wurde mit einem geteilte Bereich ausgestattet.

    In einer Domain sollten immer zwei DCs vorhanden sein.

    1. Problem: Meist bekommen die Clients keine IP, obwohl der redundante DHCP online ist.

    2. Ein Notebook, der wahrscheinlich seine IP vom ersten DC bekam, hat jetzt trotz wiederholtem Reboot die alte IP  - ich hätte erwartet, daß der Notebook ein neue IP aus dem 20%-Teil der 80/20-Aufteilung erhält.

    Ausserdem wird als DHCP in ipconfig /all trotzdem der ERSTE DC als DHCP gelistet, nicht aber die IP des zweiten. Dennoch hat der Notebook jetzt die DNS bekommen (d.h die IPs BEIDER DCs) .

    Zeig doch so ein ipconfig /all von diesem Client.

    Wenn ich jetzt probiere mich am Notebook mit einem selten genutzten Administrator-Konto anzumelden, geht auch das nicht. Für mich ein Zeichen, daß der 2. DC seinen Job nicht richtig macht.

    'Geht das auch nicht' ist die schlimmste aller Fehlerbeschreibungen.
    Was passiert? Welche Meldung bekommst Du genau wenn Du dich mit
    genau welchem Account am Notebook anmelden möchtest?

    Servus
    Winfried

    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Montag, 29. April 2013 04:58
    |
  • Question
    Anmelden
    0
    Anmelden

    wenn die IP range in einem anderen subnetz liegen, muss der switch/router entsprechend konfiguriert sein damit er den dhcp broadcast traffic passieren lässt. andernfalls funktioniert der failover nicht.

    hier ist ein artikel der dich evtl. interessieren könnte:

    http://www.windowsdevcenter.com/pub/a/windows/2004/04/13/DHCP_Server.html

    Montag, 29. April 2013 06:36
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    der Client wird beim Reboot die Adresse des DHCP-Servers anfragen, der ihm die Adresse vergeben hat. Kann er ihn nicht erreichen, versucht er, den Standard-Gateway zu erreichen. Ist dieser erreichbar, geht der Client davon aus, dass seine Adresse noch gültig ist.

    Eine Erneuerungsanfrage wird er dann nach der Hälfte der Leasetime senden.

    http://support.microsoft.com/kb/167014/en-us

    Ich würde daher am Client "ipconfig /release" und "ipconfig /renew" eingeben....

    Grüße,

    Toni

    Montag, 29. April 2013 08:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    bist Du inzwischen weitergekommen?

    Gruss,
    Raul

    Raul Talmaciu, MICROSOFT 
    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 30. April 2013 06:22
    |
  • Question
    Anmelden
    0
    Anmelden

    Jein.

    Wie bereits beschrieben:

    Ich habe 192.168.1.3 mit DNS und DHCP als DC und 192.168.1.4 mit DNS und DHCP.

    Beide habe denselben IP-Pool .10 bis 101 jeweils mit Ausschlüssen .10 bis .82 (bei .3) und .83 bis 101 (bei .4).

    Ich hatte schon frohlockt, aber irgendwie klemmt es immer noch, obwohl vom AUssehen des DNS und den Logs zufolge alles funktionieren müsste.

    Ein ipconfig /all liefert auf einem Client z.B.:

    Ethernet-Adapter LAN-Verbindung:

       Verbindungsspezifisches DNS-Suffix: thomae.tut-nix-zur-sache
       Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Physikalische Adresse . . . . . . : 00-1F-D0-23-45-DD
       DHCP aktiviert. . . . . . . . . . : Ja
       Autokonfiguration aktiviert . . . : Ja
       Verbindungslokale IPv6-Adresse  . : fe80::f96f:482a:441f:5b39%10(Bevorzugt)
       IPv4-Adresse  . . . . . . . . . . : 192.168.1.24(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.255.0
       Lease erhalten. . . . . . . . . . : Dienstag, 30. April 2013 16:49:56
       Lease läuft ab. . . . . . . . . . : Dienstag, 7. Mai 2013 16:49:55
       Standardgateway . . . . . . . . . : 192.168.1.2
       DHCP-Server . . . . . . . . . . . : 192.168.1.3
       DHCPv6-IAID . . . . . . . . . . . : 234889168
       DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-15-17-58-DE-00-1F-D0-23-45-D

       DNS-Server  . . . . . . . . . . . : 192.168.1.3
                                           192.168.1.4
                                           192.168.1.2
       Primärer WINS-Server. . . . . . . : 192.168.1.3
       NetBIOS über TCP/IP . . . . . . . : Aktiviert

    Zuerst taucht der erste DNS (.3), zusätzlich (.4).

    Als DHCP-Server taucht IMMER .3 auf, auch wenn die IP von .4 vergeben wurde.

    Jetzt ist .3 ausgeschaltet. Ich würde erwarten, daß .4 dann den DNS-DIenst und DHCP lückenlos ersetzt ...

    Testweise nslookup client1 liefert ...

    C:\Users\nico.THOMAE>nslookup client1
    DNS request timed out.
        timeout was 2 seconds.
    Server:  UnKnown
    Address:  192.168.1.3

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    *** Zeitüberschreitung bei Anforderung an UnKnown.

    C:\Users\nico.THOMAE>

     ich kann aber sehr wohl die IP-Adresse von Client 1 anpingen (.96).

    Ausserdem taucht der Eintrag von Client1 nicht in DNS auf .4 auf, obwohl doch .4 per DHCP die ADresse selber vergeben hat.

    Dienstag, 30. April 2013 15:11
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 30.04.2013 schrieb NicoNi:

    Ich habe 192.168.1.3 mit DNS und DHCP als DC und 192.168.1.4 mit DNS und DHCP.

    Beide habe denselben IP-Pool .10 bis 101 jeweils mit Ausschlüssen .10 bis .82 (bei .3) und .83 bis 101 (bei .4).

    Du hast ein Leaszeit von 7 Tagen, weshalb dann unbedingt 2 DHCP? Zwei
    DHCP mit Aufteilung 80/20 wäre IMHO ausreichend. Vorsichtshalber
    kannst Du ja über NETSH täglich den DHCP Server sichern bzw. die
    Konfiguration exportieren. Im Fall des Falles ist der DHCP ja recht
    schnell wieder hergestellt.

    Ethernet-Adapter LAN-Verbindung:

       Verbindungsspezifisches DNS-Suffix: thomae.tut-nix-zur-sache
       Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
       Physikalische Adresse . . . . . . : 00-1F-D0-23-45-DD
       DHCP aktiviert. . . . . . . . . . : Ja
       Autokonfiguration aktiviert . . . : Ja
       Verbindungslokale IPv6-Adresse  . : fe80::f96f:482a:441f:5b39%10(Bevorzugt)
       IPv4-Adresse  . . . . . . . . . . : 192.168.1.24(Bevorzugt)
       Subnetzmaske  . . . . . . . . . . : 255.255.255.0
       Lease erhalten. . . . . . . . . . : Dienstag, 30. April 2013 16:49:56
       Lease läuft ab. . . . . . . . . . : Dienstag, 7. Mai 2013 16:49:55
       Standardgateway . . . . . . . . . : 192.168.1.2
       DHCP-Server . . . . . . . . . . . : 192.168.1.3
       DHCPv6-IAID . . . . . . . . . . . : 234889168
       DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-15-17-58-DE-00-1F-D0-23-45-D

       DNS-Server  . . . . . . . . . . . : 192.168.1.3
                                           192.168.1.4
                                           192.168.1.2
       Primärer WINS-Server. . . . . . . : 192.168.1.3
       NetBIOS über TCP/IP . . . . . . . : Aktiviert





    Zuerst taucht der erste DNS (.3), zusätzlich (.4).

    In welchem DHCP Server finden sich die beiden Einträge?

    Als DHCP-Server taucht IMMER .3 auf, auch wenn die IP von .4 vergeben wurde.

    Wo genau hast Du die .4 vergeben? Was ist .2? Das ist ein
    eingetragenes Standardgateway, ist das ein Router oder ein Server?

    Jetzt ist .3 ausgeschaltet. Ich würde erwarten, daß .4 dann den DNS-DIenst und DHCP lückenlos ersetzt ...

    Testweise nslookup client1 liefert ...

    C:\Users\nico.THOMAE>nslookup client1
    DNS request timed out.
        timeout was 2 seconds.
    Server:  UnKnown
    Address:  192.168.1.3

    DNS request timed out.
        timeout was 2 seconds.
    DNS request timed out.
        timeout was 2 seconds.
    * Zeitüberschreitung bei Anforderung an UnKnown.

    Ipconfig /flushdns [ENTER] in einer administrativen Commandline
    ausführen. Anschließend erneut nslookup client1 ausführen.

    Ausserdem taucht der Eintrag von Client1 nicht in DNS auf .4 auf, obwohl doch .4 per DHCP die ADresse selber vergeben hat.

    Sind die DNS-Zonen AD integriert? Wenn ja, dann müssen die ja auch
    untereinander repliziert werden. Passiert das auch ohne
    Fehlermeldungen?

    Servus
    Winfried

    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Dienstag, 30. April 2013 18:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Also, ich habe inzwischen weiter experimentiert.

    DC1 und DC2 enthalten rein optisch die gleichen Einträge, z.B 'Hylafax' mit 192.168.1.83 inklusive PTR.

    Auf einem anderen Client habe ich flushdns, release und renew durchgeführt und anschliessend zur Sicherheit bei nslookup den timeout auf 10s gesetzt.

    Bei laufendem DNS auf DC1 und DC2 bekomme ich für hylafax folgende Antwort:

    > hylafax
    Server:  DC1.thomae.nickisch
    Address:  192.168.1.3

    Name:    hylafax.thomae.nickisch
    Address:  192.168.1.83

    Halte ich jetzt den DNS auf DC1 an, dann sollte nach meinem Verständnis doch DC2 die gleiche ANtwort liefern. Tut er aber nicht !

    Die gleiche ABfrage wie oben lässt zunächst die ersten beiden Zeilen erscheinen, dann die 10s timeout-Pause, dann "DNS request timed out"

    Von meinem zwieten DNS auf DC2 ist nie die Rede.

    IMHO kommen dafür 2 Gründe in Frage:

    1. DC2 antwortet nicht

    2. Die Clients fragen DC2 gar  nicht.

    Gegen 1) spricht, dass in der Fehlermeldung von nslookup zwar auf den nicht antwortenden DC1 verwiesen wird, DC2 wird aber mit keinem WOrt erwähnt. Das spräche für 2).

    Aber warum ? Lt. ipconfig /all ist DC2 bei den DNS-Servern gelistet.

    Der EIntrag für DHCP-Server nennt wohl immer den Server, der Spender für die IP gewesen ist.

    Mir scheint das Problem eher bei den Clients liegend. Trotz allem: kann ich gezielt das Funktionieren der DNS auf beiden DC untersuchen ?

    Übrigens ist der STandardgateway auf 192.168.1.2 ein DSL-Router.

    UPDATE: In einem anderen Thread habe ich einen Leidensgenossen gefunden.

    Dort gab es den Tip, daß nslookup grundsätzlich nur den ersten DNS fragt, es sei denn man will expilzit einen anderen.

    Jetzt habe ich mal mit 'Server DC2' den Standardserver gewechselt. Und siehe da - DC2 findet den Client nicht.

    Antwort "No Response from Server"

    Ich habe auf DC2 nochmal nachgeschaut: DNS läuft, keine Fehlermeldungen  und er horcht auf allen IP-Adressen. Der Client ist dort auch verzeichnet.

    Ich bin ratlos.



    • Bearbeitet NicoNi Mittwoch, 1. Mai 2013 06:24
    Mittwoch, 1. Mai 2013 05:50
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 01.05.2013 schrieb NicoNi:

    Übrigens ist der STandardgateway auf 192.168.1.2 ein DSL-Router.

    Ein DSL-Router hat aber als DNS-Server nichts auf den Clients zu
    suchen. Nimm ihn raus, ipconfig /flushdns + ipconfig /release +
    ipconfig /renew auf allen beteiligten Clients ausführen.

    Ich habe auf DC2 nochmal nachgeschaut: DNS läuft, keine Fehlermeldungen  und er horcht auf allen IP-Adressen. Der Client ist dort auch verzeichnet.

    Was heißt er horcht auf allen IPs? Haben die Server mehrere
    NIC/IP-Adressen? Wenn ja, das ist sehr ungünstig bis schlcht. Ein DC
    sollte immer nur eine IP haben, falls mehrere NICs eingebaut sind,
    am besten die NIC im GM deaktivieren.

    Servus
    Winfried

    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 1. Mai 2013 09:43
    |
  • Question
    Anmelden
    0
    Anmelden
    Also, beide DNS haben ein NIC (wenn auch virtuell) mit EINER IPv4, aber auch einer IPv6
    Mittwoch, 1. Mai 2013 09:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    das nslookup nur den ersten DNS abfragt ist nur solange korrekt, bis man Ihm sagt welchen DNS er fragen soll.

    Wir schreiben nslookup Client2 DC2. Dann wird dc2 gefragt.

    Sind im DNS auf DC2 überhaupt Einträge? was sagt denn dcdiag /test:dns (bitte einmal auf DC1 und einmal auf DC2 ausführen. Ausgaben sollten gleich sein und hoffentlich ohne Fehler)

    Best regards
    Andreas Ernst
    MCITP:EA, MCP, MCTS

    Donnerstag, 2. Mai 2013 07:13
    |
  • Question
    Anmelden
    0
    Anmelden

    Ich habe jetzt auf beiden DCs dcdiag /test:dns ausgeführt. Bei beiden sieht das Ergebnis identisch aus und ohne Fehlermeldungen.

    Auf DC2 hat jetzt dcdiag folgende Fehlermeldung gebracht. Sonst sind alle Tests bestanden:

           
    Starting test: SystemLog
         Fehler. Ereignis-ID: 0xC0002719
            Erstellungszeitpunkt: 05/02/2013   19:10:11
            Ereigniszeichenfolge:
            DCOM konnte mit dem Computer "145.253.2.11" unter Verwendung eines b
eliebigen, konfigurierten Protokolls keine Daten austauschen.
         Fehler. Ereignis-ID: 0xC0002719
            Erstellungszeitpunkt: 05/02/2013   19:10:32
            Ereigniszeichenfolge:
            DCOM konnte mit dem Computer "145.253.2.203" unter Verwendung eines
beliebigen, konfigurierten Protokolls keine Daten austauschen.
         Fehler. Ereignis-ID: 0xC0002719
            Erstellungszeitpunkt: 05/02/2013   19:10:34
            Ereigniszeichenfolge:
            DCOM konnte mit dem Computer "192.168.1.2" unter Verwendung eines be
liebigen, konfigurierten Protokolls keine Daten austauschen.
         ......................... DC2 hat den Test SystemLog nicht
         bestanden.
      Starting test: VerifyReferences
         ......................... DC2 hat den Test VerifyReferences

    Die 145er sind wohl DNS von Arcor, 192.168.1.2 ist der Gateway/Router. Wo haben sich die wohl reingeschlichen ?

    Auf DC1 ist es ähnlich:

          Starting test: SystemLog
         Fehler. Ereignis-ID: 0xC0001B63
            Erstellungszeitpunkt: 05/02/2013   19:11:24
            Ereigniszeichenfolge:
            Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrück
meldung von Dienst PlugPlay erreicht.
         Fehler. Ereignis-ID: 0xC0001B63
            Erstellungszeitpunkt: 05/02/2013   19:11:55
            Ereigniszeichenfolge:
            Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrück
meldung von Dienst PlugPlay erreicht.
         Warnung. Ereignis-ID: 0x8000001D
            Erstellungszeitpunkt: 05/02/2013   19:16:20
            Ereigniszeichenfolge:
            Vom Schlüsselverteilungscenter (Key Distribution Center, KDC) kann k
ein passendes Zertifikat für Smartcard-Anmeldungen gefunden werden, oder das KDC
-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktion
iert möglicherweise nicht ordnungsgemäß, so lange dieses Problem nicht behoben w
urde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Z
ertifikat mithilfe von "certutil.exe", oder registrieren Sie sich für ein neues
KDC-Zertifikat.
         Fehler. Ereignis-ID: 0xC0002719
            Erstellungszeitpunkt: 05/02/2013   19:19:28
            Ereigniszeichenfolge:
            DCOM konnte mit dem Computer "145.253.2.11" unter Verwendung eines b
eliebigen, konfigurierten Protokolls keine Daten austauschen.
         Fehler. Ereignis-ID: 0xC0002719
            Erstellungszeitpunkt: 05/02/2013   19:19:50
            Ereigniszeichenfolge:
            DCOM konnte mit dem Computer "145.253.2.203" unter Verwendung eines
beliebigen, konfigurierten Protokolls keine Daten austauschen.
         ......................... GALILEO2010 hat den Test SystemLog nicht
         bestanden.
      Starting test: VerifyReferences
         ......................... GALILEO2010 hat den Test VerifyReferences
         bestanden.

    Auch hier für mich nicht erkennbar schwerwiegende Probleme, die erklären könnten , daß DC2 nicht die korrekte DNS-Funktion übernehmen könnte, sobald DC1 nicht erreichbar ist.

    Vielleicht gibt der nächste Block etwas mehr her:

    Auf DC1=GALILEO2010 habe ich den DNS-DIenst angehalten und anschliessend auf DC2=LEONARDO nochmals dcdiag /test:dns gestartet:

          Starting test: DNS
         Testergebnisse für Domänencontroller:

            Domänencontroller: LEONARDO.thomae.nickisch
            Domäne: thomae.nickisch


               TEST: Basic (Basc)
                  Achtung: Adapter
                  [00000012] Intel(R) PRO/1000 MT-Netzwerkverbindung besitzt
                  einen ungültigen DNS-Server: 192.168.1.3
                  (galileo2010.thomae.nickisch.)

               TEST: Delegations (Del)
                  Fehler: DNS-Server: galileo2010.thomae.nickisch.
                  IP:fd49:611:1511:6:192:168:1:3
                  [Broken delegated domain _msdcs.thomae.nickisch.]

         Zusammenfassung der Testergebnisse für die von den oben aufgeführten
         Domänencontrollern verwendeten DNS-Server:

            DNS-Server: 192.168.1.3 (galileo2010.thomae.nickisch.)
               2 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DN
S server 192.168.1.3               Name resolution is not functional. _ldap._tcp
.thomae.nickisch. failed on the DNS server 192.168.1.3

            DNS-Server: fd49:611:1511:6:192:168:1:3
            (galileo2010.thomae.nickisch.)
               1 Testfehler auf diesem DNS-Server
               PTR record query for the 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.
0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa failed on the DNS server fd49:611:1511:6:192:16
8:1:3
         Zusammenfassung der DNS-Testergebnisse:

                                            Auth. Bas. Weiterl. Entf.  Dyn.
            RReg. Erw.
            _________________________________________________________________
            Domäne: thomae.nickisch
               LEONARDO                     PASS WARN PASS FAIL PASS PASS n/a

         ......................... thomae.nickisch hat den Test DNS nicht
         bestanden.

    Ein Teil der Meldungen ist sicher normal, aber das dann gar nix mehr geht ...

    Donnerstag, 2. Mai 2013 17:39
    |