DNS funktioniert nicht mehr wenn ein bestimmter DC aus ist
Guten Abend,
ich habe hier eine letzte VM "dcserver" mit Windows Server 2012 R2 im Einsatz, die endlich abgelöst werden soll. Auf dieser VM ist ein DC installiert und dort liegen auch alle FSMO-Rollen. Es gibt noch zwei weitere DCs, dcserver01 und dcserver02. dcserver01 (Server 2019, GUI) hat die Rollen DHCP und DNS konfiguriert, den dcserver02 (Server 2019, Core) habe ich noch nicht autorisiert.
Mein Plan war, nachdem der dcserver01 eingerichtet ist, den dcserver herunterfahren und testen. Wenn alles iO ist, den dcserver02 fertig einrichten und dann den dcserver außer Betrieb nehmen (FSMO-Rollen übertragen, herunterstufen, etc).
Wir haben nur die eine Domäne und keine Subnetze, alle DCs sind im gleichen Netz am gleichen Standort.
Fahre ich die VM "dcserver" herunter, kann ich keine Domains mehr anpingen und auch keine Webseiten aufrufen.
"ping heise.de" bringt: "Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."
Versuche ich "heise.de" im Browser aufzurufen, kommt keine Verbindung zustande. Das gleiche bei der IP 193.99.144.80 (heise.de).
Sobald die VM wieder läuft, funktioniert das wieder alles.
Die DCs haben feste IPs:
dcserver - 192.168.1.7
dcserver01 - 192.168.1.3
Als bevorzugter DNS-Server ist die IP vom jeweils anderen DC eingetragen und als alternativer DNS-Server die eigene IP.
In der Forward-Lookupzone sind für beide A und AAAA Einträge vorhanden, in der Reverse-Lookupzone NS und PTR Einträge.
Meine Tests habe ich in einer VM mit fester IP vorgenommen, als DNS-Server sind 192.168.1.3 und 192.168.1.7 eingetragen, in dieser Reihenfolge.
Im BPA für die beiden DCs erhalte ich nur einen Fehler, DNSSEC ist bei uns nicht konfiguriert.
Problem:
Keiner der für Zone TrustAnchors konfigurierten sekundären Server reagiert.
Auswirkung:
Bei DNS-Abfragen für die Zone TrustAnchors werden sekundäre Server nicht ausgeführt.
Lösung:
Überprüfen Sie die sekundären Server für Zone TrustAnchors.
Wo muss ich ansetzen, welche Stellen prüfen?
Viele Grüße & schon mal Danke fürs Lesen ;)
ich habe hier eine letzte VM "dcserver" mit Windows Server 2012 R2 im Einsatz, die endlich abgelöst werden soll. Auf dieser VM ist ein DC installiert und dort liegen auch alle FSMO-Rollen. Es gibt noch zwei weitere DCs, dcserver01 und dcserver02. dcserver01 (Server 2019, GUI) hat die Rollen DHCP und DNS konfiguriert, den dcserver02 (Server 2019, Core) habe ich noch nicht autorisiert.
Mein Plan war, nachdem der dcserver01 eingerichtet ist, den dcserver herunterfahren und testen. Wenn alles iO ist, den dcserver02 fertig einrichten und dann den dcserver außer Betrieb nehmen (FSMO-Rollen übertragen, herunterstufen, etc).
Wir haben nur die eine Domäne und keine Subnetze, alle DCs sind im gleichen Netz am gleichen Standort.
Fahre ich die VM "dcserver" herunter, kann ich keine Domains mehr anpingen und auch keine Webseiten aufrufen.
"ping heise.de" bringt: "Ping-Anforderung konnte Host "heise.de" nicht finden. Überprüfen Sie den Namen, und versuchen Sie es erneut."
Versuche ich "heise.de" im Browser aufzurufen, kommt keine Verbindung zustande. Das gleiche bei der IP 193.99.144.80 (heise.de).
Sobald die VM wieder läuft, funktioniert das wieder alles.
Die DCs haben feste IPs:
dcserver - 192.168.1.7
dcserver01 - 192.168.1.3
Als bevorzugter DNS-Server ist die IP vom jeweils anderen DC eingetragen und als alternativer DNS-Server die eigene IP.
In der Forward-Lookupzone sind für beide A und AAAA Einträge vorhanden, in der Reverse-Lookupzone NS und PTR Einträge.
Meine Tests habe ich in einer VM mit fester IP vorgenommen, als DNS-Server sind 192.168.1.3 und 192.168.1.7 eingetragen, in dieser Reihenfolge.
Im BPA für die beiden DCs erhalte ich nur einen Fehler, DNSSEC ist bei uns nicht konfiguriert.
Problem:
Keiner der für Zone TrustAnchors konfigurierten sekundären Server reagiert.
Auswirkung:
Bei DNS-Abfragen für die Zone TrustAnchors werden sekundäre Server nicht ausgeführt.
Lösung:
Überprüfen Sie die sekundären Server für Zone TrustAnchors.
Wo muss ich ansetzen, welche Stellen prüfen?
Viele Grüße & schon mal Danke fürs Lesen ;)
Please also mark the comments that contributed to the solution of the article
Content-Key: 3526320572
Url: https://administrator.de/contentid/3526320572
Printed on: April 28, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hi
Haben deine anderen DNS Server auch eine Weiterleitung an DNS Server beim Provider / Router eingetragen oder nur der eine DC?
Bitte mal prüfen.
https://www.frankysweb.de/server-2016-active-directory-installation-teil ...
Mit freundlichen Grüßen
Nemesis
Haben deine anderen DNS Server auch eine Weiterleitung an DNS Server beim Provider / Router eingetragen oder nur der eine DC?
Bitte mal prüfen.
https://www.frankysweb.de/server-2016-active-directory-installation-teil ...
Mit freundlichen Grüßen
Nemesis
Hi Nidavellir,
freut mich, dass es wieder wie gewünscht funktioniert.
Ich gehe davon aus, das bei Abschaltung von dcserver die anderen beiden sich nicht der Stammhinweise bedienen (wie es der dcserver tut ohne Weiterleitung), weil sie eine "funktionierende" Weiterleitung konfiguriert haben.
Viele Grüße
freut mich, dass es wieder wie gewünscht funktioniert.
Ich gehe davon aus, das bei Abschaltung von dcserver die anderen beiden sich nicht der Stammhinweise bedienen (wie es der dcserver tut ohne Weiterleitung), weil sie eine "funktionierende" Weiterleitung konfiguriert haben.
Viele Grüße