Problemen met Windows AD DS & DNS

donderdag 20 augustus 2020 14:15

Acties:

0 Henk 'm!

Topicstarter

De nieuwe Windows Server 2019 van de vzw van een familielid doet al een hele tijd lastig en ik krijg het maar niet opgelost. De VZW heeft een zeer bescheiden IT-budget met als gevolg dat het niet echt een optie is om een dure externe dienst in te schakelen en dus komt 't maar op mijn bord te liggen.

Momenteel worden de policies niet correct gepushed en lukt het niet om de Windows Server 2019 Standard Eval naar een retail licentie te upgraden.

Het heeft even geduurd tegen dat men de licenties via Socialware ontvangen heeft en ik was ervoor al begonnen met de server op te zetten op basis van en Eval image aangezien die toch eenvoudig geüpgraded kan worden. Of, ten minste zolang de Server geen Domain Controller is, wat hier helaas al het geval is. Het domein is grotendeels opgezet en de integratie met Office 365 werd reeds uitgevoerd. Van scratch opnieuw beginnen is dus niet bepaald gewenst.
Een work-around is om een tweede Windows Server op te zetten, deze als DC te configureren, de tweede uit AD halen, upgraden en vervolgens opnieuw aanstellen als DC.

Helaas loopt dat niet van een leien dakje. Ik krijg een foutmelding à la: "Encountered an error contacting the domain. The Server is not operational". Na wat googlen, zou het mogelijks liggen aan NTLM verificatie.

Vervolgens de server eerst lid gemaakt van de AD, maar helaas lost dat het probleem niet op.

dcdiag suggereert dat het probleem zou liggen bij de DNS records, maar die lijken me op het eerste zicht in orde.

code:

C:\Users\Administrator>dcdiag

Directory Server Diagnosis

Performing initial setup:
Trying to find home server...
Home Server = server
* Identified AD Forest.
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\SERVER
Starting test: Connectivity
......................... SERVER passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\SERVER
Starting test: Advertising
......................... SERVER passed test Advertising
Starting test: FrsEvent
......................... SERVER passed test FrsEvent
Starting test: DFSREvent
......................... SERVER passed test DFSREvent
Starting test: SysVolCheck
......................... SERVER passed test SysVolCheck
Starting test: KccEvent
A warning event occurred. EventID: 0x80000B46
Time Generated: 08/20/2020 13:36:22
Event String:
The security of this directory server can be significantly enhanced by configuring the server to reject SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP binds that do not request signing (integrity verification) and LDAP simple binds that are performed on a clear text (non-SSL/TLS-encrypted) connection. Even if no clients are using such binds, configuring the server to reject them will improve the security of this server.
A warning event occurred. EventID: 0x80000BE1
Time Generated: 08/20/2020 13:36:22
Event String:
The security of this directory server can be significantly enhanced by configuring the server to enforce validation of Channel Binding Tokens received in LDAP bind requests sent over LDAPS connections. Even if no clients are issuing LDAP bind requests over LDAPS, configuring the server to validate Channel Binding Tokens will improve the security of this server.
......................... SERVER passed test KccEvent
Starting test: KnowsOfRoleHolders
......................... SERVER passed test KnowsOfRoleHolders
Starting test: MachineAccount
......................... SERVER passed test MachineAccount
Starting test: NCSecDesc
......................... SERVER passed test NCSecDesc
Starting test: NetLogons
......................... SERVER passed test NetLogons
Starting test: ObjectsReplicated
......................... SERVER passed test ObjectsReplicated
Starting test: Replications
......................... SERVER passed test Replications
Starting test: RidManager
......................... SERVER passed test RidManager
Starting test: Services
......................... SERVER passed test Services
Starting test: SystemLog
A warning event occurred. EventID: 0x000727A5
Time Generated: 08/20/2020 13:07:33
Event String: The WinRM service is not listening for WS-Management requests.
An error event occurred. EventID: 0xC0001B70
Time Generated: 08/20/2020 13:07:35
Event String: The Microsoft Azure AD Sync service terminated with the following service-specific error:
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:08:00
Event String:
Name resolution for the name _ldap._tcp.dc._msdcs.corp.<ad-domein.tld>. timed out after none of the configured DNS servers responded.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:08:01
Event String:
Name resolution for the name wpad timed out after none of the configured DNS servers responded.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:08:02
Event String:
Name resolution for the name _ldap._tcp.dc._msdcs.corp.<ad-domein.tld>. timed out after none of the configured DNS servers responded.
An error event occurred. EventID: 0x00002710
Time Generated: 08/20/2020 13:08:09
Event String: Unable to start a DCOM Server: {9C38ED61-D565-4728-AEEE-C80952F0ECDE}. The error:
A warning event occurred. EventID: 0x000727AA
Time Generated: 08/20/2020 13:08:21
Event String:
The WinRM service failed to create the following SPNs: WSMAN/server.corp.<ad-domein.tld>; WSMAN/server.
A warning event occurred. EventID: 0x00002724
Time Generated: 08/20/2020 13:08:25
Event String:
This computer has at least one dynamically assigned IPv6 address.For reliable DHCPv6 server operation, you should use only static IPv6 addresses.
A warning event occurred. EventID: 0x00001796
Time Generated: 08/20/2020 13:08:39
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
A warning event occurred. EventID: 0x0000000C
Time Generated: 08/20/2020 13:08:39
Event String:
Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the AD PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source. It is recommended that you either configure a reliable time service in the root domain, or manually configure the AD PDC to synchronize with an external time source. Otherwise, this machine will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to disable the NtpClient.
A warning event occurred. EventID: 0x000727A5
Time Generated: 08/20/2020 13:08:43
Event String: The WinRM service is not listening for WS-Management requests.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:09:08
Event String:
Name resolution for the name _ldap._tcp.dc._msdcs.corp.<ad-domein.tld>. timed out after none of the configured DNS servers responded.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:09:10
Event String:
Name resolution for the name wpad timed out after none of the configured DNS servers responded.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:09:11
Event String:
Name resolution for the name wpad timed out after none of the configured DNS servers responded.
An error event occurred. EventID: 0x00002710
Time Generated: 08/20/2020 13:09:22
Event String: Unable to start a DCOM Server: {9C38ED61-D565-4728-AEEE-C80952F0ECDE}. The error:
A warning event occurred. EventID: 0x000727AA
Time Generated: 08/20/2020 13:09:34
Event String:
The WinRM service failed to create the following SPNs: WSMAN/server.corp.<ad-domein.tld>; WSMAN/server.
A warning event occurred. EventID: 0x00002724
Time Generated: 08/20/2020 13:09:38
Event String:
This computer has at least one dynamically assigned IPv6 address.For reliable DHCPv6 server operation, you should use only static IPv6 addresses.
A warning event occurred. EventID: 0x00001796
Time Generated: 08/20/2020 13:09:48
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
A warning event occurred. EventID: 0x0000000C
Time Generated: 08/20/2020 13:09:48
Event String:
Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the AD PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source. It is recommended that you either configure a reliable time service in the root domain, or manually configure the AD PDC to synchronize with an external time source. Otherwise, this machine will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to disable the NtpClient.
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:14:50
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:14:50
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'ForestDnsZones.corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:14:50
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'DomainDnsZones.corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:24:41
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:24:41
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'ForestDnsZones.corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:24:41
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'DomainDnsZones.corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
A warning event occurred. EventID: 0x000727A5
Time Generated: 08/20/2020 13:35:46
Event String: The WinRM service is not listening for WS-Management requests.
An error event occurred. EventID: 0xC0001B70
Time Generated: 08/20/2020 13:35:47
Event String: The Microsoft Azure AD Sync service terminated with the following service-specific error:
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:36:12
Event String:
Name resolution for the name _ldap._tcp.dc._msdcs.corp.<ad-domein.tld>. timed out after none of the configured DNS servers responded.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:36:14
Event String:
Name resolution for the name wpad timed out after none of the configured DNS servers responded.
A warning event occurred. EventID: 0x000003F6
Time Generated: 08/20/2020 13:36:15
Event String:
Name resolution for the name wpad timed out after none of the configured DNS servers responded.
An error event occurred. EventID: 0x00002710
Time Generated: 08/20/2020 13:36:26
Event String: Unable to start a DCOM Server: {9C38ED61-D565-4728-AEEE-C80952F0ECDE}. The error:
A warning event occurred. EventID: 0x000727AA
Time Generated: 08/20/2020 13:36:38
Event String:
The WinRM service failed to create the following SPNs: WSMAN/server.corp.<ad-domein.tld>; WSMAN/server.
A warning event occurred. EventID: 0x00002724
Time Generated: 08/20/2020 13:36:42
Event String:
This computer has at least one dynamically assigned IPv6 address.For reliable DHCPv6 server operation, you should use only static IPv6 addresses.
A warning event occurred. EventID: 0x00001796
Time Generated: 08/20/2020 13:36:52
Event String:
Microsoft Windows Server has detected that NTLM authentication is presently being used between clients and this server. This event occurs once per boot of the server on the first time a client uses NTLM with this server.
A warning event occurred. EventID: 0x0000000C
Time Generated: 08/20/2020 13:36:52
Event String:
Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the AD PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source. It is recommended that you either configure a reliable time service in the root domain, or manually configure the AD PDC to synchronize with an external time source. Otherwise, this machine will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to disable the NtpClient.
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:41:54
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:41:54
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'ForestDnsZones.corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
A warning event occurred. EventID: 0x00001695
Time Generated: 08/20/2020 13:41:54
Event String:
Dynamic registration or deletion of one or more DNS records associated with DNS domain 'DomainDnsZones.corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).
......................... SERVER failed test SystemLog
Starting test: VerifyReferences
......................... SERVER passed test VerifyReferences

Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... ForestDnsZones passed test CrossRefValidation

Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... DomainDnsZones passed test CrossRefValidation

Running partition tests on : Schema
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation

Running partition tests on : Configuration
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation

Running partition tests on : corp
Starting test: CheckSDRefDom
......................... corp passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... corp passed test CrossRefValidation

Running enterprise tests on : corp.<ad-domein.tld>
Starting test: LocatorCheck
......................... corp.<ad-domein.tld> passed test LocatorCheck
Starting test: Intersite
......................... corp.<ad-domein.tld> passed test Intersite

C:\Users\Administrator>

Ik ben helemaal ten einde raad. Iemand suggesties?

dinsdag 25 augustus 2020 19:41

wagenveld

ICM een nieuwe AD?
Lijkt me schoner om dirsync uit te zetten, nieuwe AD bouwen, en dan hard matchen met een nieuwe dirsync:
https://messageops.com/st...n-office-365-or-azure-ad/

donderdag 20 augustus 2020 15:25

Acties:

+1 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

DCDiag rapporteert de wereld aan errors mbt het niet kunnen resolven van AD-gerelateerde records.

Geef eens de output van ipconfig /all?

Ik vermoed dat je server ingesteld staat om de DNS-service van je provider te gebruiken oid...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 20 augustus 2020 15:32

Acties:

+1 Henk 'm!

HKLM_

Momenteel worden de policies niet correct gepushed en lukt het niet om de Windows Server 2019 Standard Eval naar een retail licentie te upgraden.

Heb je onderstaande stappen uitgevoerd?

Om te zien welke versie je hebt.

code:

1	DISM /online /Get-CurrentEdition

Om te zien naar welke versie je kan upgraden

code:

1	DISM /online /Get-TargetEditions

Om te updaten naar serverstandard

code:

1	DISM /Online /Set-Edition:ServerStandard /ProductKey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /AcceptEula

Cloud ☁️

donderdag 20 augustus 2020 16:20

Acties:

0 Henk 'm!

xioros

Topicstarter

Question Mark schreef op donderdag 20 augustus 2020 @ 15:25:
DCDiag rapporteert de wereld aan errors mbt het niet kunnen resolven van AD-gerelateerde records.

Geef eens de output van ipconfig /all?

Ik vermoed dat je server ingesteld staat om de DNS-service van je provider te gebruiken oid...

Dat had ik reeds gecontroleerd en lijkt me er goed uit te zien?

Afbeeldingslocatie: https://tweakers.net/i/rrlT5Ii7WUg0lIQ2HU_siy9VSzo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/DFtC1ltl3wDmAryDxhqgGhv9.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/rrlT5Ii7WUg0lIQ2HU_siy9VSzo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/DFtC1ltl3wDmAryDxhqgGhv9.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/sTMZnzzY8rfrxIXqp1v28ertLeo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/Evg1ovYTr8CwWaImVEBikrDL.png?f=user_large

HKLM_ schreef op donderdag 20 augustus 2020 @ 15:32:
[...]

Heb je onderstaande stappen uitgevoerd?

Om te zien welke versie je hebt.
code:
1
DISM /online /Get-CurrentEdition
Om te zien naar welke versie je kan upgraden
code:
1
 DISM /online /Get-TargetEditions
Om te updaten naar serverstandard
code:
1
 DISM /Online /Set-Edition:ServerStandard /ProductKey:xxxxx-xxxxx-xxxxx-xxxxx-xxxxx /AcceptEula
toon volledige bericht

Daar zit dus het (voornaamste) probleem:

Afbeeldingslocatie: https://tweakers.net/i/jYNgDogJD0xa8z7Ve5cvuRC5UUs=/800x/filters:strip_exif()/f/image/Bin5NNqqJQYeUlHtO1LEjeBd.png?f=fotoalbum_large

De key klopt (rechtstreeks copy-paste MAK vanuit Microsoft Licensing Centre). Maar het probleem zou zitten in het feit dat de server reeds domain controller is. Daarom dat ik die roles tijdelijk wil overhandigen aan een VM die Windows Server 2019 draait - en daar loopt het dus mis.

Zie ook hier: https://docs.microsoft.co...d/supported-upgrade-paths
"If the server is a domain controller, you cannot convert it to a retail version. In this case, install an additional domain controller on a server that runs a retail version and remove AD DS from the domain controller that runs on the evaluation version. For more information, see Upgrade Domain Controllers to Windows Server 2012 R2 and Windows Server 2012."

donderdag 20 augustus 2020 16:24

Acties:

0 Henk 'm!

ralpje

Deugpopje

xioros schreef op donderdag 20 augustus 2020 @ 16:20:
[...]

Dat had ik reeds gecontroleerd en lijkt me er goed uit te zien?

[Afbeelding]

[Afbeelding]

En is dat dan de bestaande server of degene die je nieuw probeert toe te voegen?

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

donderdag 20 augustus 2020 16:26

Acties:

0 Henk 'm!

3DDude

I void warranty's

Om te beginnen.

Ik denk dat je server geen internet heeft?
Kan je de Def GW pingen?
Kan je 8.8.8.8 pingen?
Kan je www.google.com resolven en pingen?
Wat voor key heb je gekocht / gedownload en welke ga je activeren.

ALs je DNS opent heb je dan wel de root servers en een forwarder opgezet van bijv de ISP?

Be nice, You Assholes :)

donderdag 20 augustus 2020 16:26

Acties:

0 Henk 'm!

HKLM_

Heb je nu wel of niet een tweede domain controller? Zo ja voeg het ip van de domain controller dan ook eens toe aan de DNS van je eerste domaincontroller. (onder je netwerk kaart)

[ Voor 7% gewijzigd door HKLM_ op 20-08-2020 16:26 ]

Cloud ☁️

vrijdag 21 augustus 2020 08:38

Acties:

+1 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

xioros schreef op donderdag 20 augustus 2020 @ 16:20:
[...]

Dat had ik reeds gecontroleerd en lijkt me er goed uit te zien?

Rare is wel dat je node-type op Mixed staat, terwijl dit Hybrid zou moeten zijn. Nu probeert de machine eerst via Broadcast hosts te resolven, en als dat niet lukt gaat hij pas gebruik maken van nameservers. Als de nic in Hybrid mode staat, gaat hij altijd eerst nameservers gebruiken.

Via de registry is de node-type overigens aan te passen.

Als deze output overigens van je tweede DC is, heeft deze dan ook wel de DNS-role geinstalleerd gekregen? En je zult inderdaad beide DNS-servers kruislings moeten instellen op de Nic's van je DC's.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 21 augustus 2020 12:50

Acties:

0 Henk 'm!

xioros

Topicstarter

ralpje schreef op donderdag 20 augustus 2020 @ 16:24:
[...]

En is dat dan de bestaande server of degene die je nieuw probeert toe te voegen?

Dit is de bestaande server.

3DDude schreef op donderdag 20 augustus 2020 @ 16:26:
Om te beginnen.

Ik denk dat je server geen internet heeft?
Kan je de Def GW pingen?
Kan je 8.8.8.8 pingen?
Kan je www.google.com resolven en pingen?
Wat voor key heb je gekocht / gedownload en welke ga je activeren.

ALs je DNS opent heb je dan wel de root servers en een forwarder opgezet van bijv de ISP?

Extern internet werkt prima, zowel voor de server als voor de clients (die beiden de Windows Server als DNS server gebruiken).

Key: de non-profit SKU van Windows Server 2019. Dit betreft een MAK. Rechtstreeks bij een Microsoft Partner (Socialware) besteld en de productsleutels & downloads bij Microsoft Volume Licensing Center ontvangen.

ALs je DNS opent heb je dan wel de root servers en een forwarder opgezet van bijv de ISP?

Bedoel je dat de Windows Server de root servers heeft? Want dat is het geval.
Afbeeldingslocatie: https://tweakers.net/i/BxCakONPSkQs7KTJYBdTafl3GPo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/eZQGA1Edr2xpBfKgjBhGAABF.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/BxCakONPSkQs7KTJYBdTafl3GPo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/eZQGA1Edr2xpBfKgjBhGAABF.png?f=user_large

HKLM_ schreef op donderdag 20 augustus 2020 @ 16:26:
Heb je nu wel of niet een tweede domain controller? Zo ja voeg het ip van de domain controller dan ook eens toe aan de DNS van je eerste domaincontroller. (onder je netwerk kaart)

Zoals hierboven aangegeven: alle screenshots betreffen de eerste, huidige domain controller ("server.corp.<domain.tld>"). De tweede is een VM ("dc1.corp.<domain.tld>", propere installatie) die ik probeer toe te voegen als tweede domain controller om de roles over te nemen. Maar deze vm geeft zoals eerder aangegeven de foutmelding dat er een probleem zou zijn met de eerste. Wat - gezien ook de problemen met het ontvangen van group policies en de lijst fouten in de dcdiag - waarschijnlijk volledig bij de eerste server zal liggen. Vandaar deze vraag om hulp.

Question Mark schreef op vrijdag 21 augustus 2020 @ 08:38:
[...]

Rare is wel dat je node-type op Mixed staat, terwijl dit Hybrid zou moeten zijn. Nu probeert de machine eerst via Broadcast hosts te resolven, en als dat niet lukt gaat hij pas gebruik maken van nameservers. Als de nic in Hybrid mode staat, gaat hij altijd eerst nameservers gebruiken.

Via de registry is de node-type overigens aan te passen.

Als deze output overigens van je tweede DC is, heeft deze dan ook wel de DNS-role geinstalleerd gekregen? En je zult inderdaad beide DNS-servers kruislings moeten instellen op de Nic's van je DC's.

De tweede DC heeft nog geen geconfigureerde DNS role. Wel werd de role (samen met AD DS roles) geïnstalleerd, maar hoe dan ook dient het probleem met de eerste DC eerst opgelost te worden.

Je zei iets over node-type. Heb je een linkje voor mij met meer info?

vrijdag 21 augustus 2020 12:52

Acties:

0 Henk 'm!

McWolf82

Je kunt een server die Active Directory Domain Services rol heeft niet upgraden van Evaluation naar Standard/Datacenter, dan moet je eerst een demote uitvoeren en rollen eraf halen.

Never mind, lees net dat je dat zelf ook al had geconstateerd.

[ Voor 16% gewijzigd door McWolf82 op 21-08-2020 12:54 ]

vrijdag 21 augustus 2020 12:55

Acties:

+2 Henk 'm!

Vorkie

Doe eerst even alles goed configureren:

AD 1:
DNS 1: IP adres AD2
DNS 2: 127.0.0.1

AD2:
DNS1: 192.168.0.2
DNS2: 127.0.0.1

Kan je tevens even kijken naar de FORWARDERS tab? Welke servers staan daar?

https://docs.microsoft.co...s.10)?redirectedfrom=MSDN

[ Voor 31% gewijzigd door Vorkie op 21-08-2020 12:56 ]

vrijdag 21 augustus 2020 12:59

Acties:

+1 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Vorkie schreef op vrijdag 21 augustus 2020 @ 12:55:
Doe eerst even alles goed configureren:

AD 1:
DNS 1: IP adres AD2
DNS 2: 127.0.0.1

AD2:
DNS1: 192.168.0.2
DNS2: 127.0.0.1

Dat zou ik nog even niet doen. Zolang DNS op de tweede server nog niet functioneel is, zou ik dit systeem nog even buiten beschouwing laten. Eerst de basis fixen.

@TS: hoe zien je DNS-zones eruit? Zijn deze AD-integrated? Staan dynamic updates wel op enabled?

Er zit simpelweg iets niet goed in je DNS:

Name resolution for the name _ldap._tcp.dc._msdcs.corp.<ad-domein.tld>. timed out after none of the configured DNS servers responded.

Dynamic registration or deletion of one or more DNS records associated with DNS domain 'corp.<ad-domein.tld>.' failed. These records are used by other computers to locate this server as a domain controller (if the specified domain is an Active Directory domain) or as an LDAP server (if the specified domain is an application partition).

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 21 augustus 2020 13:02

Acties:

0 Henk 'm!

Vorkie

Question Mark schreef op vrijdag 21 augustus 2020 @ 12:59:
[...]

Dat zou ik nog even niet doen. Zolang DNS op de tweede server nog niet functioneel is, zou ik dit systeem nog even buiten beschouwing laten.

@TS: hoe zien je DNS-zones eruit? Zijn deze AD-integrated? Staan dynamic updates wel op enabled?

Er zit simpelweg iets niet goed in je DNS:

[...]

Ik zag pas later dat alleen DC01 nog operationeel was na zijn reactie... my bad.

Ik zie wel dat alles op IPv6 draait, @xioros kan jij deze eens uitvinken op de nieuwe server? Of had je dat ook al gedaan?

Krijgen je servers/clients niet per ongeluk ook IPv6 DNS server van de provider?

vrijdag 21 augustus 2020 13:03

Acties:

0 Henk 'm!

McWolf82

xioros schreef op vrijdag 21 augustus 2020 @ 12:55:
[...]

Inderdaad. Wat is hier trouwens de reden voor? Is dit doelbewust zo? Of is het een lang bestaande bug in het OS?

Goede vraag, wellicht dat er 'teveel' verschil zit tussen een evaluatie en retail versie, het is niet alleen een code activeren, er wordt ook wel e.e.a. qua programmatuur omgezet.
In het geval van Server 2016 geldt dat ook:

https://docs.microsoft.com/en-us/windows-server/get-started/supported-upgrade-paths

"If the server is a domain controller, you cannot convert it to a retail version. In this case, install an additional domain controller on a server that runs a retail version and remove AD DS from the domain controller that runs on the evaluation version"

[ Voor 4% gewijzigd door McWolf82 op 21-08-2020 13:05 ]

vrijdag 21 augustus 2020 13:08

Acties:

0 Henk 'm!

xioros

Topicstarter

Question Mark schreef op vrijdag 21 augustus 2020 @ 12:59:
[...]

Dat zou ik nog even niet doen. Zolang DNS op de tweede server nog niet functioneel is, zou ik dit systeem nog even buiten beschouwing laten. Eerst de basis fixen.

My point exactly.

@TS: hoe zien je DNS-zones eruit? Zijn deze AD-integrated? Staan dynamic updates wel op enabled?

Er zit simpelweg iets niet goed in je DNS:

[...]

Afbeeldingslocatie: https://tweakers.net/i/hC7b3IoJs4J5pcvHC3Xiz5T0NDs=/800x/filters:strip_exif()/f/image/spME8tl8VAhYPYFy0UHZ8jPp.png?f=fotoalbum_large

Vorkie schreef op vrijdag 21 augustus 2020 @ 13:02:
[...]

Ik zag pas later dat alleen DC01 nog operationeel was na zijn reactie... my bad.

Ik zie wel dat alles op IPv6 draait, @xioros kan jij deze eens uitvinken op de nieuwe server? Of had je dat ook al gedaan?

Krijgen je servers/clients niet per ongeluk ook IPv6 DNS server van de provider?

Helaas draaien ze daar een BBOX 3 en geen deftige router. Hierop heb ik de DHCP uitgeschakeld (aangezien je zelfs niet eens aparte DNS servers op de DHCP server kan instellen

).
By default krijgen ze inderdaad een ipv6 adres, maar normaal zouden de servers en alle clients ipv6 onder de adapter uit moeten hebben staan. Dat was een initiële barrière bij het joinen van het domein (dat overigens wél lukt - dus het zou echt in sub records moeten zitten als het aan DNS ligt?).

vrijdag 21 augustus 2020 13:13

Acties:

+2 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Kijk even of dynamic updates op de zones wel enabled is. Ik zie in de zone "corp.domain.tld" al dat het A-record voor de server ontbreekt.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

dinsdag 25 augustus 2020 19:34

Acties:

0 Henk 'm!

xioros

Topicstarter

Voor zover ik kan zien wel. Er staat wel een foutmelding bij de DNS service.

Afbeeldingslocatie: https://tweakers.net/i/2vJbK8Yaq-_18f9TAxrry9WcNY8=/800x/filters:strip_exif()/f/image/LDyOc0V79pPEaMbAy8PmgXeT.png?f=fotoalbum_large

Inmiddels is de licentie verlopen en blijkbaar heeft 't ding zich afgelopen week zelf uitgezet waardoor ik er niet meer op afstand aan kon. Daarom het late antwoord.

Inmiddels ben ik het eigenlijk best moe. Is er een manier om de Active Directory gewoon van scratch opnieuw op te bouwen of te migreren (met een 3rd party tool of dergelijke) zonder dat dit problemen oplevert met de sync naar Azure/Office 365?

De diagnostiek en troubleshooting kost zo veel tijd dat het waarschijnlijk sneller is om de boel van scratch opnieuw op te bouwen. Policies etc kan ik exporteren en van de bestanden zijn goede back-ups.

dinsdag 25 augustus 2020 19:40

Acties:

0 Henk 'm!

HKLM_

xioros schreef op dinsdag 25 augustus 2020 @ 19:34:
Voor zover ik kan zien wel. Er staat wel een foutmelding bij de DNS service.

[Afbeelding]

Inmiddels is de licentie verlopen en blijkbaar heeft 't ding zich afgelopen week zelf uitgezet waardoor ik er niet meer op afstand aan kon. Daarom het late antwoord.

Inmiddels ben ik het eigenlijk best moe. Is er een manier om de Active Directory gewoon van scratch opnieuw op te bouwen of te migreren (met een 3rd party tool of dergelijke) zonder dat dit problemen oplevert met de sync naar Azure/Office 365?

De diagnostiek en troubleshooting kost zo veel tijd dat het waarschijnlijk sneller is om de boel van scratch opnieuw op te bouwen. Policies etc kan ik exporteren en van de bestanden zijn goede back-ups.

AD connect kan je toch ook migreren. https://docs.microsoft.co...nect-import-export-config

Cloud ☁️

dinsdag 25 augustus 2020 19:41

Acties:

0 Henk 'm!

xioros

Topicstarter

HKLM_ schreef op dinsdag 25 augustus 2020 @ 19:40:
[...]

Die kan je toch ook migreren. https://docs.microsoft.co...nect-import-export-config

Dus zolang 't domein matched zou dat allemaal prima moeten verlopen als ik de users de zelfde naam geef? Ik ging er van uit dat er een reeks ID's en unieke variabelen mee gesynchroniseerd werden.

[ Voor 26% gewijzigd door xioros op 25-08-2020 19:42 ]

dinsdag 25 augustus 2020 19:41

Acties:

Beste antwoord ✓
+1 Henk 'm!

wagenveld

ICM een nieuwe AD?
Lijkt me schoner om dirsync uit te zetten, nieuwe AD bouwen, en dan hard matchen met een nieuwe dirsync:
https://messageops.com/st...n-office-365-or-azure-ad/

dinsdag 25 augustus 2020 19:42

Acties:

0 Henk 'm!

xioros

Topicstarter

wagenveld schreef op dinsdag 25 augustus 2020 @ 19:41:
ICM een nieuwe AD?
Lijkt me schoner om dirsync uit te zetten, nieuwe AD bouwen, en dan hard matchen met een nieuwe dirsync:
https://messageops.com/st...n-office-365-or-azure-ad/

Prima. Dan doe ik gewoon dat.

vrijdag 28 augustus 2020 09:59

Acties:

+1 Henk 'm!

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

xioros schreef op dinsdag 25 augustus 2020 @ 19:42:
[...]

Prima. Dan doe ik gewoon dat.

hmmmm... ik blijf dat een beetje een noodoplossing vinden. Op termijn is er gewoon kans dat je daar weer tegenaan gaat lopen.

De foutmelding heeft het erover dat de initial synchronisatie nooit succesvol is afgerond. Dat lijkt erop dat dit systeem ooit als extra DC in een bestaand domain geplaatst is. Controleer voor de gein eens in "AD sites & services" of daar nog oude niet-opgeruimde replicatielinks staan, waardoor je DC verwacht dat er nog replicatiepartners zijn?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 28 augustus 2020 10:36

Acties:

+2 Henk 'm!

xioros

Topicstarter

Question Mark schreef op vrijdag 28 augustus 2020 @ 09:59:
[...]

hmmmm... ik blijf dat een beetje een noodoplossing vinden. Op termijn is er gewoon kans dat je daar weer tegenaan gaat lopen.

De foutmelding heeft het erover dat de initial synchronisatie nooit succesvol is afgerond. Dat lijkt erop dat dit systeem ooit als extra DC in een bestaand domain geplaatst is. Controleer voor de gein eens in "AD sites & services" of daar nog oude niet-opgeruimde replicatielinks staan, waardoor je DC verwacht dat er nog replicatiepartners zijn?

Snap ik, maar het is roeien met de riemen die ik heb. Bovendien wordt er blijkbaar sowieso afgeraden om met evaluation images te werken aangezien die later nog problemen kunnen geven (zelfs al is er een upgrade naar retail doorgevoerd).

Dat lijkt erop dat dit systeem ooit als extra DC in een bestaand domain geplaatst is.

Dat is raar, aangezien die server destijds gebruikt gebruikt is om een nieuw domein van scratch mee te bouwen - al had ik er ook van begins af aan problemen mee

(zie eerder, policies)

--

De nieuwe installatie van Windows Server werkt voorlopig prima. Alle records worden netjes dynamisch bijgehouden en alle policies worden ook netjes gepushed.

Wel moet ik nog uitvissen hoe ik de matching in Azure cloud doe, aangezien hij momenteel dubbele records creëert (ProxyAddress voor soft-match lijkt niet te volstaan), maar de gebruikers kunnen in elk geval al terug aanmelden en hun werk doen.

donderdag 3 september 2020 14:22

Acties:

0 Henk 'm!

wagenveld

Hard matching is niet super ingewikkeld, maar je moet even wat hashes uitrekenen. Zie bijv: https://messageops.com/st...n-office-365-or-azure-ad/

Let even op dat gebruikers nu geen Onedrive etc gaan vullen in de kopie accounts.

Vraag

Beste antwoord (via xioros op 03-09-2020 14:04)

Alle reacties