Archiv Server-Windows 15.877 Themen, 54.317 Beiträge

Verfolgung starten Optionen

W2003-Server PDC, W2000-Server BackupDC ?

claudeffm / 9 Antworten / Baumansicht Nickles

Hallo,

Was ich machen/wissen will ist folgendes.

Die derzeitige Domäne mit bis zu 20 Clients Last hat einen w2003-server als PDC.

Nun will ich einen AD-Backup-Server haben falls der PDC mal ausfällt.
Ein w2k-server ist vorhanden und als Computer in der Domäne.

Jetzt würde ich den w2000s gerne zum 2. PDC (als BackupDC) machen.

Starte ich auf dem w2k-Server den Assistenten zum installieren von AD, mit der Option "als zusätzlichen Domänenkontroller installieren" kommt es zu problemen.

Fehlermeldung: Die Domäne "xxxmeine domänexxx.de" ist keine Aktivedirectory-domäne oder es konnte keine Verbindung zu einem PDC hergestellt werden.

Netzverbindung ist ok,ping etc funktioniert, DNS-name des DC wird aufgelöst, man kann die Fileshares/Drucker des DC über die Netzwerkumgebung problemlos erreichen.

Theorethisch sollte das ja möglich sein, die domäne ist w2k-mixed aufgebaut. Ein 2003-Server sollte sich gegenüber einem 2k-server identifizieren können.

thx im vorraus.. ;-)

elblindo claudeffm „W2003-Server PDC, W2000-Server BackupDC ?“
Optionen

Welchen ServicePack hat der W2K-Server?
Ist die w2k3 Domäne im functional level windows server 2003?
Das ganze gibts es auch nochmal in der Gesamtstruktur (Forest). Sollte einer der beiden Level schon auf Server 2003 stehen (zu erfahren im Active Directory Domains and Trusts-Snapin), kann man keinen W2k-Server mehr als Domänenkontroller hinzufügen.
Ist der w2k-Server schon in der Domäne als Member-Server? Wie sehen seine DNS-Einstellungen aus?

Fragen, ohne die es keine Antworten geben kann...

Gruss

ElBlindo

claudeffm Nachtrag zu: „W2003-Server PDC, W2000-Server BackupDC ?“
Optionen

w2000-Server SP 4
w2003-Server aktueller Update-Stand


Eigenschaften der Gesamtdomäne:

Domänenfunktionsebene Windows 2000 gemischt
Gesamtstrukturfunktionsebene windows 2000

der w2003server ist in der Domäne als einziger DC drin
der w2000 Server ist als einer der Computer in der Domäne


Was ist mit member-Server gemeint ?

DNS-Einstellungen w2000-Server:
Naja da er Server ist hat er eine feste IP
Als DNS-Server hat er 2 interne Linux-Server eingetragen (wie der w2003 auch).
Die DNS und DHCP-Dienste liefert bei uns ein Linux(Suse-Bind)-Server

In einer cmd-box kann man vom w2000-Server problemlos: nslookup w2003Server.meinedomaene.de mit korrektem ergebnis ausführen.


Der w2k ist im übrigen neu aufgesetzt also wenig bis keine Registry-Leichen o.ae.die alte Server mal haben.

elblindo claudeffm „w2000-Server SP 4 w2003-Server aktueller Update-Stand Eigenschaften der...“
Optionen

>der w2000bild Server ist als einer der Computer in der Domäne


>Was ist mit member-Server gemeint ?

Genau das oben geschilderte: Alle Windows-Server-Betriebssysteme, die in einer Domänenstruktur integriert sind bezeichnet man als Member-Server (im Gegensatz heisen die Nicht-Domänen-Mitglieder Standalone-Server)

>Als DNS-Server hat er 2 interne Linux-Server eingetragen (wie der w2003 auch).
>Die DNSbild und DHCP-Dienste liefert bei uns ein Linux(Suse-Bind)-Server

Da liegt vermutlich das Problem: AD mit mehreren DCs braucht MS-Kombatible DNS-Server, die bekanntlich so nicht von Linux bereitgestellt werden. Wenn deine Linux-DNS für die Namensauflösung ins Internet dienen, wäre folgende Konfiguration ratsam:
Wenn auf dem W2k3 der DNS schon aktiviert ist, dem w2k-server in den netzwerkeinstellungen im DNS den w2k3-Server als Dienstanbietenden mitgeben. Den DNS-Server auf w2k3 so einrichten, das die Linux-Kisten als Forwarder für unbekannte DNS-Anfragen benutzt werden.

Wenn auf dem w2k3-Server der DNS-Server-Dienst noch nicht oder nicht mehr läuft:

Auf dem W2k3-Server den DNS-Server-Dienst aktivieren und als Active-Directory-Integrated einrichten, dem DNS dann als Forwarder die beiden Linux-Kisten anbieten.
Dann mal eine Weile warten und das Eventlog beobachten. Wenn keine Signifikanten Fehlermeldungen auftauchen, nochmal den w2k-Server mit dcpromo hochstufen zum DC.

Hintergrund: Im AD existieren bestimmte Dienste (Kerberos, LDAP....), deren Bestand über Ressource-Records im DNS abgefragt wird. Diese Einträge sind bei einzelnen DCs eigentlich auch wichtig, aber der alleinexistierende DC schafft wohl irgendwie auch ohne DNS herauszufinden, das er der Träger der Dienste ist. Wenn du nun aber einen neuen DC hinzufügen willst, bedarf dieser genau der Informationen aus dem DNS. Bei der Erst-Einrichtung der AD-Struktur (dcpromo auf w2k3-Server) konnten die Einträge auf den linux-Kisten sicherlich nicht erzeugt werden (wenn doch, dann bitte schnell der Gemeinde der Wartenden mitteilen, wie das ging.)

Gruss und viel Spass dabei

claudeffm elblindo „ der w2000bild Server ist als einer der Computer in der Domäne Was ist mit...“
Optionen

Erstmal Dankeschön,
ich hatte langsam auch so eine leichte Ahnung das die Inkompatibilität Linux-DNS / W-Server mit reinspielen könnte... damned..

Werde deinen Lsgsweg mal versuchen und Berichten wie es gelaufen ist..
Sicher mit viel Spass...

GarfTermy claudeffm „W2003-Server PDC, W2000-Server BackupDC ?“
Optionen

...na, da wollen wir mal n´bisserl was geraderücken...

1. es gibt ab w2k einen primären domaiincontroller [pdc] mehr, nur noch dc
2. willst du das ad sicherer machen, installierst du einen w2k/3 server und führst dcpromo aus und
3. fügst den server der bestehenden domain hinzu - schwupps - ad wird jetzt auf 2 dc ausgeführt... und ist damit sicherer als vorher

und 4.

wenn dns, dann ist es egal WO dns laüft, da dns ein offener standard ist, kann es auch auf einem linux/unix/novell laufen. ...aber sauber konfiguriert muß es schon sein - alle clients und server müssen also im dns registriert sein. zusätzlich MUSS ein wins vorhanden sein...

was aber nicht bedeutet, das dns im w2k/3 server besonders lecker ist...

also?

wenn ein client/server nicht in die domain kann, stimmt fast immer der dns nicht - prüf das mal sorgfältig nach!

elblindo GarfTermy „...na, da wollen wir mal n bisserl was geraderücken... 1. es gibt ab w2k einen...“
Optionen

>wenn dns, dann ist es egal WO dns laüft, da dns ein offener standard ist, kann es auch auf einem linux/unix/novell laufen. .>..aber sauber konfiguriert muß es schon sein - alle clients und server müssen also im dns registriert sein. zusätzlich MUSS >ein wins vorhanden sein...

Da kann ich so nicht zustimmen: MS verwendet, wie eigentlich immer, proprietäre Standards, und insbesondere die Ressource-Records können zwar auch von BIND-Vertretern im DNS genutzt werden, aber eintragen musst du die dann von hand, und wer sich schon mal die Struktur der Einträge angeschaut hat, der verzichtet darauf lieber. Hier gilt die Empfehlung:

Für Microsofts Systeme Microsofts Krams benutzen, also interner DNS-Server für die MS-Domäne kommt von MS,
Für externe Welt gern auch was anderes benutzen, interne Systeme forwarden ihre Anfragen hierhin.

Gruss

ElBlindo

GarfTermy elblindo „ wenn dns, dann ist es egal WO dns laüft, da dns ein offener standard ist, kann...“
Optionen

...komisch nur, dass hier ein linux dsn macht und alles funktioniet - was nach deiner definition ja nicht gehen darf.

"...aber sauber konfiguriert muß es schon sein..."

ist es.

Kaum macht man es richtig, schon geht's [stimmt]

;-)

GarfTermy elblindo „ wenn dns, dann ist es egal WO dns laüft, da dns ein offener standard ist, kann...“
Optionen

...ergänzung...

http://www.google.de/search?hl=de&ie=ISO-8859-1&q=linux+dns+activ+directory&meta=

;-)

elblindo GarfTermy „...ergänzung... http://www.google.de/search?hl de ie ISO-8859-1 q linux dns...“
Optionen

Ich sagte nicht, das es nicht geht:
Zitat "und insbesondere die Ressource-Records können zwar auch von BIND-Vertretern im DNS genutzt werden, aber eintragen musst du die dann von hand," , und wenn ich claudeffm richtig interpretiere, ist ihm die zentrale Bedeutung des DNS in MS-Domänen noch nicht richtig klar gewesen. Da empfehle ich halt die einfache Methode, die sein Problem ohne langes Tüfteln beseitigen kann. (suche dazu mal mit deinen Begriffen "Linux", "DNS", "Activ" und "Directory" unter http://groups.google.com, wieviele Schritte nötig sind, nur um einen Client-Rechner am Linux-System die SRV-Records richtig auflösen zu lassen, geschweige denn der Tatsache, das hier ein DC hinzugefügt werden soll, was nur richtig funktionieren kann, wenn er 1. die SRV-Records des schon bestehenden DCs lesen kann udn 2. seine eigenen SRV-Records im Laufe des DCPromo erzeugen kann. Klappt das nämlich nicht, wirst du nach reboot im Eventlog so neckische Fehlermeldungen lesen wie: Konnte Netlogon-Dienst nicht starten, konnte kein SYSVOL-Partition schreiben, konnte dies nicht und konnte das nicht. Oder Kurz: Konnte nicht DC werden)
Und wenn ich deinem Link weiter folge, wird dort in den Beschreibungen die von mir vorgeschlagene Vorgehensweise empfohlen: MS zu MS, forwarden zu Linux, der externe DNS-Auflösung handelt.

Also, nichts für ungut, aber manchmal ist halt auch MS für was gut (nämlich für sich selbst), und wenn man es nutzen muss (aus welchen Gründen das auch immer sein mag) dann sollte man sich mit den Best-Practices-Dokus von MS auseinandersetzen und so verfahren, dann kommt in der Regel sogar ein stabil laufendes System heraus.

Gruss

ElBlindo