5
DNS funktioniert nicht mehr wenn ein bestimmter DC aus ist
Guten Abend,
ich habe hier eine letzte VM "dcserver" mit Windows Server 2012 R2 im Einsatz, die endlich abgelöst werden soll. Auf dieser VM ist ein DC installiert und dort liegen auch alle FSMO-Rollen. Es gibt noch zwei weitere DCs, dcserver01 und dcserver02. dcserver01 (Server 2019, GUI) hat die Rollen DHCP und DNS konfiguriert, den dcserver02 (Server 2019, Core) habe ich noch nicht autorisiert.
Mein Plan war, nachdem der dcserver01 eingerichtet ist, den dcserver herunterfahren und testen. Wenn alles iO ist, den dcserver02 fertig einrichten und dann den dcserver außer Betrieb nehmen (FSMO-Rollen übertragen, herunterstufen, etc).
Wir haben nur die eine Domäne und keine Subnetze, alle DCs sind im gleichen Netz am gleichen Standort.
Fahre ich die VM "dcserver" herunter, kann ich keine Domains mehr anpingen und auch keine Webseiten aufrufen.
"ping heise.de" bringt: "Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."
Versuche ich "heise.de" im Browser aufzurufen, kommt keine Verbindung zustande. Das gleiche bei der IP 193.99.144.80 (heise.de).
Sobald die VM wieder läuft, funktioniert das wieder alles.
Die DCs haben feste IPs:
dcserver - 192.168.1.7
dcserver01 - 192.168.1.3
Als bevorzugter DNS-Server ist die IP vom jeweils anderen DC eingetragen und als alternativer DNS-Server die eigene IP.
In der Forward-Lookupzone sind für beide A und AAAA Einträge vorhanden, in der Reverse-Lookupzone NS und PTR Einträge.
Meine Tests habe ich in einer VM mit fester IP vorgenommen, als DNS-Server sind 192.168.1.3 und 192.168.1.7 eingetragen, in dieser Reihenfolge.
Im BPA für die beiden DCs erhalte ich nur einen Fehler, DNSSEC ist bei uns nicht konfiguriert.
Problem:
Keiner der für Zone TrustAnchors konfigurierten sekundären Server reagiert.
Auswirkung:
Bei DNS-Abfragen für die Zone TrustAnchors werden sekundäre Server nicht ausgeführt.
Lösung:
Überprüfen Sie die sekundären Server für Zone TrustAnchors.
Wo muss ich ansetzen, welche Stellen prüfen?
Viele Grüße & schon mal Danke fürs Lesen ;)
ich habe hier eine letzte VM "dcserver" mit Windows Server 2012 R2 im Einsatz, die endlich abgelöst werden soll. Auf dieser VM ist ein DC installiert und dort liegen auch alle FSMO-Rollen. Es gibt noch zwei weitere DCs, dcserver01 und dcserver02. dcserver01 (Server 2019, GUI) hat die Rollen DHCP und DNS konfiguriert, den dcserver02 (Server 2019, Core) habe ich noch nicht autorisiert.
Mein Plan war, nachdem der dcserver01 eingerichtet ist, den dcserver herunterfahren und testen. Wenn alles iO ist, den dcserver02 fertig einrichten und dann den dcserver außer Betrieb nehmen (FSMO-Rollen übertragen, herunterstufen, etc).
Wir haben nur die eine Domäne und keine Subnetze, alle DCs sind im gleichen Netz am gleichen Standort.
Fahre ich die VM "dcserver" herunter, kann ich keine Domains mehr anpingen und auch keine Webseiten aufrufen.
"ping heise.de" bringt: "Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."
Versuche ich "heise.de" im Browser aufzurufen, kommt keine Verbindung zustande. Das gleiche bei der IP 193.99.144.80 (heise.de).
Sobald die VM wieder läuft, funktioniert das wieder alles.
Die DCs haben feste IPs:
dcserver - 192.168.1.7
dcserver01 - 192.168.1.3
Als bevorzugter DNS-Server ist die IP vom jeweils anderen DC eingetragen und als alternativer DNS-Server die eigene IP.
In der Forward-Lookupzone sind für beide A und AAAA Einträge vorhanden, in der Reverse-Lookupzone NS und PTR Einträge.
Meine Tests habe ich in einer VM mit fester IP vorgenommen, als DNS-Server sind 192.168.1.3 und 192.168.1.7 eingetragen, in dieser Reihenfolge.
Im BPA für die beiden DCs erhalte ich nur einen Fehler, DNSSEC ist bei uns nicht konfiguriert.
Problem:
Keiner der für Zone TrustAnchors konfigurierten sekundären Server reagiert.
Auswirkung:
Bei DNS-Abfragen für die Zone TrustAnchors werden sekundäre Server nicht ausgeführt.
Lösung:
Überprüfen Sie die sekundären Server für Zone TrustAnchors.
Wo muss ich ansetzen, welche Stellen prüfen?
Viele Grüße & schon mal Danke fürs Lesen ;)
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3526320572
Url: https://administrator.de/contentid/3526320572
Printed on: April 28, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hi
Haben deine anderen DNS Server auch eine Weiterleitung an DNS Server beim Provider / Router eingetragen oder nur der eine DC?
Bitte mal prüfen.
https://www.frankysweb.de/server-2016-active-directory-installation-teil ...
Mit freundlichen Grüßen
Nemesis
Haben deine anderen DNS Server auch eine Weiterleitung an DNS Server beim Provider / Router eingetragen oder nur der eine DC?
Bitte mal prüfen.
https://www.frankysweb.de/server-2016-active-directory-installation-teil ...
Mit freundlichen Grüßen
Nemesis
Guten Morgen Nemesis,
das ist seltsam. Beim dcserver (der ohne den nichts mehr ging) sind keine Weiterleitungen eingetragen. Beim dcserver01 und dcserver 02 waren Weiterleitungen zu den jeweils anderen DCs.
Ich habe jetzt alle vorhandenen Einträge gelöscht und die IP des Routers und 1.1.1.1 eingetragen.
Werde das heute Abend testen.
Danke!
Ergänzung: Den Hinweis aus diesem Kommentar habe ich auch gleich geprüft, hier ist korrekt "AD-integriert" eingestellt.
Windows Server repliziert AD aber nicht DNS
das ist seltsam. Beim dcserver (der ohne den nichts mehr ging) sind keine Weiterleitungen eingetragen. Beim dcserver01 und dcserver 02 waren Weiterleitungen zu den jeweils anderen DCs.
Ich habe jetzt alle vorhandenen Einträge gelöscht und die IP des Routers und 1.1.1.1 eingetragen.
Werde das heute Abend testen.
Danke!
Ergänzung: Den Hinweis aus diesem Kommentar habe ich auch gleich geprüft, hier ist korrekt "AD-integriert" eingestellt.
Windows Server repliziert AD aber nicht DNS
Hi,
mein Test war bislang erfolgreich. Mit ausgeschaltetem dcserver (2012er) funktioniert aktuell alles wie es soll. Ich werde das morgen noch beobachten und gebe dann eine abschließende Rückmeldung.
Verstehen kann ich es trotzdem noch nicht, da die Weiterleitungen auch beim dcserver fehlten und es dennoch funktionierte...
Viele Grüße
Nidavellir
mein Test war bislang erfolgreich. Mit ausgeschaltetem dcserver (2012er) funktioniert aktuell alles wie es soll. Ich werde das morgen noch beobachten und gebe dann eine abschließende Rückmeldung.
Verstehen kann ich es trotzdem noch nicht, da die Weiterleitungen auch beim dcserver fehlten und es dennoch funktionierte...
Viele Grüße
Nidavellir
Hi Nidavellir,
freut mich, dass es wieder wie gewünscht funktioniert.
Ich gehe davon aus, das bei Abschaltung von dcserver die anderen beiden sich nicht der Stammhinweise bedienen (wie es der dcserver tut ohne Weiterleitung), weil sie eine "funktionierende" Weiterleitung konfiguriert haben.
Viele Grüße
freut mich, dass es wieder wie gewünscht funktioniert.
Ich gehe davon aus, das bei Abschaltung von dcserver die anderen beiden sich nicht der Stammhinweise bedienen (wie es der dcserver tut ohne Weiterleitung), weil sie eine "funktionierende" Weiterleitung konfiguriert haben.
Viele Grüße
