none
Doppelte DNS Zone in der AD Datenbank RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Forum,

    wir haben in unserer Umgebung zwei DCs( WIN2008R2), beide sind als DNS Server konfiguriert.

    Vor ein paar Wochen, haben wir unseren alten 2003er DC (DC3) aus der Domäne genommen.

    Nun wollten wir gerne die Replikationsart der DNS Zonendaten ändern.  

    Der Versuch scheiterte jedoch mit der Fehlermeldung, dass der Name einer NIC zu lang sei.

    Nach weiterer Recherche bin ich auf diesen Blog

     

    "http://msmvps.com/blogs/acefekay/archive/2009/09/02/using-adsi-edit-to-resolve-conflicting-or-duplicate-ad-integrated-dns-zones.aspx"

    Gestoßen.

    Wie in dem Artikel beschrieben, gibt es die betreffende Zone auch bei uns zwei Mal.

    Einmal unter:

     „Standardmäßigen Namenskontext“ à System à MicrosoftDNS

    Und außerdem unter:

    „DC=DomainDNSZones,DC=contoso,DC=com.à“CN=MicrosoftDNS

    Dazu haben wir in der DomainDNSZones Partition mehrere “in Progress….” Ordner.

    Ich habe nun wie im Blog beschrieben, die Entsprechende Zone auf unserem ersten DC (DC1) in eine nicht AD integrierte Zone umgewandelt.

    Ich habe 24std. gewartet um alles Replizieren zu lassen.

    Alle Namensauflösungen klappen weiterhin tadellos.

    Aber, aus mir unerfindlichen Gründen, wird die Änderung auf unserem zweiten DC (DC2) nicht übernommen. Dort wird die Zone weiterhin als AD integriert angezeigt.

    Ich habe bereits die AD Replikation mit dem "Active Directory Replication Status Tool" überprüft, dieses spukte aus, dass die AD gerade vor 10min Repliziert wurde und alles gut ist.

    Verstehe ich hier etwas falsch? Muss ich die Zone auch auf dem Zweiten DC „manuell“ aus der AD nehmen?? Woran kann es liegen, dass die Einstellungen nicht Übernommen (übertragen werden)?

    Vielen Dank für eure Hilfe.

    Jonas

    Dienstag, 3. Juni 2014 12:25
    |

Antworten

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin,

    hm, spannend, hab ich so noch gar nicht gesehen. Scheint aber wohl öfter aufzutreten.

    Nach dem Blog-Artikel hätte ich die erste Variante genommen, die sieht deutlich einfacher aus und beseitigt das Problem schneller. Aber das steht ja so nicht mehr zur Disposition.

    Also ich verstehe richtig: Auf dem ersten DC ist die Zone erfolgreich in eine Standardzone umgewandelt? Wird sie so angezeigt? Und auf dem zweiten wird sie noch als AD-integriert gehandelt? Auch wenn man die Ansicht in ADSI Edit bzw. im DNS-Manager aktualisiert?

    Ist auf dem ersten DC eine Zonendatei vorhanden, und hat diese den erwarteten Inhalt?

    Was zeigt ADSI Edit auf beiden DCs? Dasselbe oder Unterschiede? Was ist dort genau zu sehen?

    Werden in der Ausgabe des folgenden Kommandos Fehler angezeigt?

    dcdiag /E > dcdiag.txt

    Gruß, Nils

    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Dienstag, 3. Juni 2014 14:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Nils, 

    vielen Dank für deine schnelle Antwort.

    Du hast alles richtig verstanden, und : Ich habe sowas vorher auch noch nicht gesehen. :-)

    Folgende Ergebnisse:

    • ZonenDatei wurde auf DC1 angelegt, wird auch korrekt mit Zonennamen angezeigt, Inhalt passt auch. Die Aktualisierung neuer Einträge klappt auch ohne Probleme.
    • Aktualisierung der Ansicht und neustart des DNS auf DC2 ändern nichts, zeigt Die Zone Weiterhin als AD integriert . 
    • ADSIEDIT Zeigt die selben Einträge, auf beiden Servern.
    • DCDiag gibt nur einen Fehler bei der Prüfung von "NCSecDesc" aus. Das ist aber meines Wissens nach ok, da wir keinen RODC verwenden.  

    Auf die Frage "was ist genau zu sehen" ist es vielleicht am besten mit dem "Distinguished Name" einträgen der Zone /Zonen Im ADSIEdit zu antworten.

    DC=Problemzone.de,CN=MicrosoftDNS,DC=DomainDnsZones,DC=Problemzone,DC=de
    DC=Problemzone.de,CN=MicrosoftDNS,CN=System,DC=Problemzone,DC=de

    Die Zone Existiert zwei mal in verschiedenen Partitionen. Genau so wie im Blog beschrieben. 

    Ich weiß halt nicht was passiert, wenn ich die Zonen mit ADSIEdit hart lösche. Kann mir aber nicht vorstellen, dass das gut ausgeht.

    Kannst du damit was anfangen oder vielleicht noch eine Idee?

    Vielen Dank und Grüße

    Jonas


    Dienstag, 3. Juni 2014 15:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    wie groß ist denn die Umgebung?

    Meine Interpretation ist, dass durch das Zonen-Duplikat die Replikation der betreffenden Verzeichnispartition grundsätzlich durcheinander geraten ist. Da du jetzt aber auf einem deiner DCs eine Standardzone hast, sollte es gefahrlos möglich sein, die AD-Zone (und alle Duplikate) zu löschen.

    Je nach Umfang der Umgebung könnte man vorher alle Clients und Server temporär so umkonfigurieren, dass sie nur den DC mit der Standardzone als DNS-Server verwenden. Oder man macht die Löschung außerhalb der Arbeitszeiten, um mögliche Auswirkungen zu minimieren.

    Vorher natürlich ein Backup der Standardzone machen, die sollte ja jetzt die verlässlichste Quelle sein.

    Gruß, Nils

    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Mittwoch, 4. Juni 2014 06:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Nils, 

    ich würde sagen, gesundes mittelständiges Unternehmen (ca. 200 Clients + Server und Schnickschnack)

    Es läuft aber schon alles über den DC mit der neuen Standardzone ( ich hatte die Zone auf dem DC2 testweise mal angehalten). 

    Backup ist auch da. 

    Ich würde jetzt folgender maßen vorgehen.

    Löschen

    1.  Aktuelles Backup der Standardzone (DC1) und der noch in der AD befindlichen Zone (DC2) machen.
    2. Auf dem DNS (DC2) mit dnscmd /zonepause die "Problemzone" anhalten und danach versuchen über dnscmd /ZoneDelete zu löschen.

    ***** Achtung, hier muss zuerst der Haken "vor zufälligem löschen schützen" aus dem AD-Objekt entfernt werden, sonst wird der Zugriff verweigert *************

    1. Dann die folgenden Ordner und alle "in Progress....." Ordner hart mit ADSIEdit löschen. 

    DC=Problemzone.de,CN=MicrosoftDNS,DC=DomainDnsZones,DC=Problemzone,DC=de

    DC=Problemzone.de,CN=MicrosoftDNS,CN=System,DC=Problemzone,DC=de

       4. DNS Server neu starten und schauen ob die "Problemzone" auf dem DC2 weg ist.

    Neuanlegen

    1. Standardzone auf DC1 in eine AD-Zone wandeln.
    2. DNS neu starten.
    3. Warten bis (ob) sich die Zone auf DC2 Repliziert hat.
    4. Replikationsbereich auf " Alle DNS Server " ändern.
    5. Feiern oder Weinen :-)

    Fällt dir noch etwas ein?? oder würdest du etwas anders machen?

    Vielen Dank und Grüße 

    Jonas


    Mittwoch, 4. Juni 2014 08:21
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    im Wesentlichen würde ich das so versuchen.

    Gruß, Nils

    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Freitag, 6. Juni 2014 21:02
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Niels, es hat funktioniert!!!!

    Meine Erfahrungen und Stolpersteine schreibe ich mal in den Post mit der ToDo Liste, dann hat die Nachwelt mehr davon.

    Vielen Dank und alles Gute!

    Donnerstag, 12. Juni 2014 16:44
    |