[2003] Tweede domain controller

donderdag 21 augustus 2008 11:23

Waar heb je DNS naar toe verwezen?

No production networks were harmed during this posting

Acties:

Verwijderd

Topicstarter

De DNS van de nieuwe server staat verwezen naar de domein controller.

En ik heb dcdiag gedraaid op de dc en krijg onderstaand resultaat:

code:

Domain Controller Diagnosis

Performing initial setup:
   Done gathering initial info.

Doing initial required tests
   
   Testing server: Standaard-eerste-site\server1
      Starting test: Connectivity
            *** Warning: could not confirm the identity of this server in
               the directory versus the names returned by DNS servers.
               If there are problems accessing this directory server then
               you may need to check that this server is correctly registered
               with DNS
         ......................... server1 passed test Connectivity

Doing primary tests
   
   Testing server: Standaard-eerste-site\server1

DNS Tests are running and not hung. Please wait a few minutes...
   
   Running partition tests on : ForestDnsZones
   
   Running partition tests on : DomainDnsZones
   
   Running partition tests on : Schema
   
   Running partition tests on : Configuration
   
   Running partition tests on : mijndomein
   
   Running enterprise tests on : mijndomein.nl
      Starting test: DNS
         Test results for domain controllers:
            
            DC: server1
            Domain: mijndomein.nl

                  
               TEST: Basic (Basc)
                  Error: The A record for this DC was not found
                  
               TEST: Forwarders/Root hints (Forw)
                  Error: Root hints list has invalid root hint server: b.root-servers.net. (128.9.0.107)
                  Error: Root hints list has invalid root hint server: l.root-servers.net. (198.32.64.12)
                  
               TEST: Records registration (RReg)
                  Network Adapter [00000008] Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller:
                     Error: Missing A record at DNS server 192.168.100.3 :
                     server1
                     
                     Warning: Missing DC SRV record at DNS server 192.168.100.3 :
                     _ldap._tcp.dc._msdcs.mijndomein.nl
                     
                     Warning: Missing GC SRV record at DNS server 192.168.100.3 :
                     _ldap._tcp.gc._msdcs.mijndomein.nl
                     
                     Warning: Missing PDC SRV record at DNS server 192.168.100.3 :
                     _ldap._tcp.pdc._msdcs.mijndomein.nl
                     
               Error: Record registrations cannot be found for all the network adapters
         
         Summary of test results for DNS servers used by the above domain controllers:

            DNS server: 128.9.0.107 (b.root-servers.net.)
               1 test failure on this DNS server
               This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 128.9.0.107
               
            DNS server: 198.32.64.12 (l.root-servers.net.)
               1 test failure on this DNS server
               This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 198.32.64.12
               
         Summary of DNS test results:
         
                                            Auth Basc Forw Del  Dyn  RReg Ext  
               ________________________________________________________________
            Domain: mijndomein.nl
                                            PASS FAIL PASS PASS PASS FAIL n/a  
         
         ......................... mijndomein.nl failed test DNS

Deze tool geeft aan “Warning: Missing GC SRV record at DNS server 192.168.100.3” Maar de SRV records bestaan wel degelijk.

donderdag 21 augustus 2008 11:34

Acties:

Verwijderd

mwa ik geloof er niks van dat je dns goed is...

server1.mijndomein.nl bestaat wel? Zo nee, dan bestaan de anderen ook niet...

uitvoeren op nieuwe server:
nslookup server1.mijndomein.nl

uitvoeren op server1:
- controleren of de dns van server 1 alleen naar zichzelf wijst.
- net stop netlogon
- net start netlogon
- check eventvwr een minuut of 15 later op dns update failures

[ Voor 8% gewijzigd door Verwijderd op 21-08-2008 11:35 ]

donderdag 21 augustus 2008 12:07

Acties:

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Computers can do that?

Draai anders ook eens dnsdiag uit de resource kit.

Laat altijd beide dc's primair naar dezelfde dc wijzen qua dns, en secundair naar zichzelf...

donderdag 21 augustus 2008 15:15

Acties:

donderdag 21 augustus 2008 19:53

ye olde farte

offtopic:
Je bedoelt kruiselings neem ik aan?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

Verwijderd

Topicstarter

@iis5_rulez
voor server1.mijndomein.nl bestaat een a record

output nslookup

code:

C:\Documents and Settings\Administrator>nslookup server1.mijndomein.nl
*** Kan de servernaam voor het adres 192.168.100.3 niet vinden:
Non-existent domain
Server:  UnKnown
Address:  192.168.100.3

Naam:    server1.mijndomein.nl
Address:  192.168.100.3

En ik kijg geen DNS (fout)meldingen na een stop en start van netlogon.

@sanfranjake
Wat kan ik met dnsdiag. “In order for dnsdiag to work, either Exchange or SMTP service needs to be installed on the computer that dnsdiag is run from” En er draait geen SMTP op de server.
En deze tool werkt ook niet omdat hij verschillende dll nodig heeft niet op de server staan.

En de DNS op de nieuwe server verwijst naar de DNS van de DC dus 192.168.100.3

[ Voor 4% gewijzigd door Verwijderd op 21-08-2008 19:56 ]

donderdag 21 augustus 2008 19:56

Acties:

donderdag 21 augustus 2008 20:50

Alleen een a-record is voor AD niet voldoende. Maar bij dcpromo zou dat automatisch moeten gaan. Mag je dynamische wel/niet secure DNS update in de zone?

No production networks were harmed during this posting

Acties:

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Computers can do that?

Als alles goed staat zou zoals iis5_rulez zegt na het herstarten van de netlogon alle srv-records weer aangemaakt moeten worden.
Paar open deuren:
-DNS instellingen staan niet goed >> doe ons eens ipconfig /all van alle domaincontrollers?
-DNS Dynamische updates staan uit >> zet dat eens heel snel aan!
-Replicatie loopt niet goed (kan direct gevolg van deur 1 en deur 2 zijn)

Verder zou ik ook maar eens een reverse-lookup-zone aanmaken als ik jou was

donderdag 21 augustus 2008 21:03

Acties:

Verwijderd

En waar komen die externe dns servers vandaan?

donderdag 21 augustus 2008 21:07

Acties:

vrijdag 22 augustus 2008 09:30

ye olde farte

Dat zijn de default cache.dns rootservers

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

Verwijderd

Topicstarter

paella schreef op donderdag 21 augustus 2008 @ 19:56:
Mag je dynamische wel/niet secure DNS update in de zone?

Hoe kan ik dit controleren?

@sanfranjake

code:

Windows IP-configuratie
   Hostnaam  . . . . . . . . . . . . : server1
   Primair DNS-achtervoegsel. . . . .: 
   Knooppunttype . . . . . . . . . . : hybride
   IP-routering ingeschakeld. . . . .: nee
   WINS-proxy ingeschakeld . . . . . : nee

Ethernet-adapter LAN-verbinding:
   Verbindingsspec. DNS-achtervoegsel: 
   Beschrijving . . . . . . . . . . .: Attansic L1 Gigabit Ethernet 10/100/1000Base-T Controller
   Fysiek adres. . . . . . . . . . . : 00-1B-FC-C9-F4-2B
   DHCP ingeschakeld:. . . . . . . . : nee
   IP-adres. . . . . . . . . . . . . : 192.168.100.3
   Subnetmasker. . . . . . . . . . . : 255.255.255.0
   Standaard-gateway . . . . . . . . : 192.168.100.1
   DNS-servers . . . . . . . . . . . : 192.168.100.3

DNS Dynamische updates staan uit >> zet dat eens heel snel aan!

Je bedoelt de instellingen onder de tcpip instellingen? “De adressen van deze server verbinden in DNS registreren” Die staat aan.

En heb nu een reverse-lookup-zone aangemaakt.

En ik heb op dit moment nog maar een domein controller en wil een tweede toevoegen.

vrijdag 22 augustus 2008 09:35

Acties:

Verwijderd

alt-92 schreef op donderdag 21 augustus 2008 @ 21:07:
Dat zijn de default cache.dns rootservers

ach ja. Beter lezen volgende keer

vrijdag 22 augustus 2008 15:00

Acties:

Verwijderd

Topicstarter

Aanvullende informatie:
Ik krijg in de eventviewer van de nieuwe server de volgende meldingen na het starten van deze server:

Bron: DnsApi
ID: 11165
Het systeem kan de host (A)-bronrecords (RR's) voor de netwerkadapter
met de volgende instellingen niet registreren:

Adapternaam: {3D58B71B-9EE0-4F44-973E-549CC77F7A7A}
Hostnaam: server2
Primair domeinachtervoegsel: mijndomein.nl
DNS-serverlijst:
192.168.100.3
Update verzonden naar server: <?>
IP-adres(sen) :
192.168.100.4

Het systeem kan deze RR's niet registreren omdat de DNS-server de updateaanvraag heeft geweigerd. Dit kan de volgende oorzaken hebben: u mag de opgegeven DNS-domeinnaam niet bijwerken of de DNS-server die als autoriteit voor deze naam optreedt ondersteunt het protocol voor dynamische DNS-updates niet.

Als u de DNS A-bronrecords wilt registreren met behulp van de opgegeven DNS-domeinnaam en IP-adressen voor deze adapter, dient u contact te maken met de DNS-server of contact op te nemen met de netwerkbeheerder.

Bron: Userenv
ID: 1058
Windows kan geen toegang krijgen tot het bestand gpt.ini voor groepsbeleidsobject CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=mijndomein,DC=nl. Het bestand moet aanwezig zijn op locatie \\mijndomein.nl\sysvol\mijndomein.nl\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini. Toegang geweigerd. . Verwerking van groepsbeleid afgebroken.

vrijdag 22 augustus 2008 15:22

Acties:

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Computers can do that?

sanfranjake schreef op donderdag 21 augustus 2008 @ 20:50:
Als alles goed staat zou zoals iis5_rulez zegt na het herstarten van de netlogon alle srv-records weer aangemaakt moeten worden.
Paar open deuren:
-DNS instellingen staan niet goed >> doe ons eens ipconfig /all van alle domaincontrollers?
-DNS Dynamische updates staan uit >> zet dat eens heel snel aan!
-Replicatie loopt niet goed (kan direct gevolg van deur 1 en deur 2 zijn)

Verder zou ik ook maar eens een reverse-lookup-zone aanmaken als ik jou was

Vergeet niet om op alle posts te reageren/acteren

vrijdag 22 augustus 2008 19:18

Acties:

Verwijderd

Topicstarter

sanfranjake schreef op vrijdag 22 augustus 2008 @ 15:22:
[...]
Vergeet niet om op alle posts te reageren/acteren

Volgens mij had ik daar al op gereageerd. Verwijderd in "\[2003] Tweede domain controller"

Of zie ik nog iets over het hood

vrijdag 22 augustus 2008 20:10

Acties:

vrijdag 22 augustus 2008 20:53

ye olde farte

open deur 2, 3 en 4 gok ik zomaar

Oftewel: de foutmeldingen die je krijgt houden allemaal verband met een brakke DNS configuratie in je domain waardoor ook je Group Policies niet naar behoren werken.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

Verwijderd

Topicstarter

alt-92 schreef op vrijdag 22 augustus 2008 @ 20:10:
open deur 2, 3 en 4 gok ik zomaar

Oftewel: de foutmeldingen die je krijgt houden allemaal verband met een brakke DNS configuratie in je domain waardoor ook je Group Policies niet naar behoren werken.

Zou best kunnen. Maar vertel me dan graag meteen ook even hoe ik dit kan oplossen. Want deïnstalleren en opnieuw installeren van de DNS heeft niet geholpen.

vrijdag 22 augustus 2008 20:57

Acties:

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Computers can do that?

Verwijderd schreef op vrijdag 22 augustus 2008 @ 20:53:
[...]

Zou best kunnen. Maar vertel me dan graag meteen ook even hoe ik dit kan oplossen. Want deïnstalleren en opnieuw installeren van de DNS heeft niet geholpen.

Het is wel de bedoeling dat je zelf wat moeite doet, we gaan je absoluut niet voorkauwen hoe het moet. Daarnaast wordt dit je allemaal duidelijk als je wat whitepapers over active directory en dns gaat lezen. Moet ook wel anders hang je straks weer aan de lijn als de volgende fout zich voordoet.
Kortom GoT is geen helpdesk, zie [faq]FAQ[/faq] over de eisen die we hier stellen.

vrijdag 22 augustus 2008 21:47

Acties:

vrijdag 22 augustus 2008 22:33

ye olde farte

Verwijderd schreef op vrijdag 22 augustus 2008 @ 20:53:
[...]

Zou best kunnen. Maar vertel me dan graag meteen ook even hoe ik dit kan oplossen. Want deïnstalleren en opnieuw installeren van de DNS heeft niet geholpen.

Om dan toch maar even een antwoord te geven:

Je hebt nog drie open deuren waar je op kunt zoeken wat het is en hoe je dat doet.
Begin eerst maar met een Reverse DNS zone aanmaken.
Daarmee zorg je in ieder geval dat je DNS Service makkelijker correct werkend te krijgen is.

Daarna kun je stapje voor stapje doorgaan - en zet pas je tweede domain controller erbij als je éérste volledig foutloos draait.

Op een brakke fundering is het slecht bouwen tenslotte

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

Verwijderd

Topicstarter

Het is wel de bedoeling dat je zelf wat moeite doet

Ik ben al twee maanden bezig om alle microsoft technet door te spitten. Maar kom niet echt iets tegen wat ik terug kan herleiden naar mijn probleem. Kom niet voor niets hier met mijn vraag

Op een brakke fundering is het slecht bouwen tenslotte

Mee eens maar wie zegt dat de DNS brak is terwijl in de DNS admin alles goed lijkt voor zover ik kan zien dan. Alle records die aanwezig moeten zijn, zijn aanwezig als je in de admin kijkt. En zoals je in een van mijn vorige posting had kunnen lezen heb ik dus al een Reverse DNS zone aangemaakt. Vandaar mijn vraag: vertel mij dan graag waar ik het verder nog moet zoeken of wat kan ik nog meer controleren. Of hoe kan ik de DNS repareren zonder dat ik de ad opnieuw moet installeren.

vrijdag 22 augustus 2008 22:38

Acties:

vrijdag 22 augustus 2008 22:41

Laat die DNS config helemaal maar zien dan, want ik kan ook niets anders bedenken dan DNS problemen...

No production networks were harmed during this posting

Acties:

maandag 25 augustus 2008 19:43

ye olde farte

Verwijderd schreef op vrijdag 22 augustus 2008 @ 22:33:
[...]
Ik ben al twee maanden bezig om alle microsoft technet door te spitten. Maar kom niet echt iets tegen wat ik terug kan herleiden naar mijn probleem. Kom niet voor niets hier met mijn vraag

[...]
Mee eens maar wie zegt dat de DNS brak is terwijl in de DNS admin alles goed lijkt voor zover ik kan zien dan.

Nou, onder andere het puntje dat je dcdiag failed, en je NSlookup ook geen goede output geeft?
Verwijderd in "\[2003] Tweede domain controller"

Alle records die aanwezig moeten zijn, zijn aanwezig als je in de admin kijkt. En zoals je in een van mijn vorige posting had kunnen lezen heb ik dus al een Reverse DNS zone aangemaakt.

Dat die records er staan maakt helaas niks uit als je clients en je server er niks mee kunnen beginnen..
En die reverse DNS zone hoort dan gewoon deze output te geven:

code:

C:\>nslookup
Default Server:  bozeman.alt-92.net
Address:  192.168.0.5

> bozeman
Server:  bozeman.alt-92.net
Address:  192.168.0.5

Name:    bozeman.alt-92.net
Address:  192.168.0.5

Vandaar mijn vraag: vertel mij dan graag waar ik het verder nog moet zoeken of wat kan ik nog meer controleren. Of hoe kan ik de DNS repareren zonder dat ik de ad opnieuw moet installeren.

Wat sanfranjake je al vertelde: als je DNS zones geen automatic updates accepteren (kun je controleren in de eigenschappen van je zones) dan is er iets mis met je config.

En die GP error betekent ook vaak dat je naam resolving niet fris is.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

Verwijderd

Topicstarter

Volgens ons staat alles goed. Maar we hebben besloten om het bedrijf wat de server ook geïnstalleerd heeft te laten komen om ons te vertellen waarom wij geen tweede dc kunnen installeren. En waarom wij fouten met dcdiag krijgen en waarom de gp niet werken….

maandag 25 augustus 2008 20:01

Acties:

maandag 25 augustus 2008 20:02

Als je de config hier niet showt kunnen wij je inderdaad niet helpen.

No production networks were harmed during this posting

Acties:

maandag 25 augustus 2008 20:40

ye olde farte

Verwijderd schreef op maandag 25 augustus 2008 @ 19:43:
Maar we hebben besloten om het bedrijf wat de server ook geïnstalleerd heeft te laten komen

Misschien nog wel de verstandigste optie

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

pennenlikker

Modbreak: http://gathering.tweakers.net/forum/faq/beleidSpam houden we hier niet van

[ Voor 78% gewijzigd door sanfranjake op 25-08-2008 22:25 ]

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

dinsdag 26 augustus 2008 08:01

Acties:

Verwijderd

Kan je dan ons ook vertellen wat er aan de hand was? Is wel zo makkelijk als er nog meer mensen dit probleem hebben

dinsdag 26 augustus 2008 08:46

Acties:

pennenlikker

pennenlikker schreef op maandag 25 augustus 2008 @ 20:40:
\[modbreak=Het algemeen beleid,1]Spam houden we hier niet van[/modbreak]

Haha, my bad my bad

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

dinsdag 26 augustus 2008 10:02

Acties:

woensdag 27 augustus 2008 07:47

ye olde farte

Verwijderd schreef op dinsdag 26 augustus 2008 @ 08:01:
Kan je dan ons ook vertellen wat er aan de hand was? Is wel zo makkelijk als er nog meer mensen dit probleem hebben

Dat weten ze nog niet, daarom hebben ze hun leverancier ook erbij gehaald

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Acties:

Verwijderd

Topicstarter

Zodra er meer nieuws of een oplossing is laat ik het hier wel even weten.

[ Voor 7% gewijzigd door Verwijderd op 27-08-2008 07:48 ]

woensdag 27 augustus 2008 09:07

Acties: