Ich habe gerade versucht, einen meiner Domänencontroller in einer Einzeldomänengesamtstruktur zu ersetzen und dabei die alte IP-Adresse (aber einen neuen Computernamen) beizubehalten. Da es sich um eine Umgebung handelt, die ich von einem früheren Systemadministrator „geerbt“ habe, kenne ich nicht alle Hintergrundinformationen dazu, wie sie eingerichtet wurde. Ich glaube, dies könnte der erste Domänencontroller im AD gewesen sein, aber es ist ein altes Windows 2003, das in letzter Zeit auf alle möglichen Arten Probleme gemacht hat.
Vor der Änderung hatte ich:
- 2 x Windows 2003 DC
- 2 x Windows 2008 R2 DC
- Alle außer den verbleibenden Win 2003 haben GC
Nach der Änderung habe ich das Gefühl, dass der DNS-Dienst des neuen DC nicht so funktioniert, wie er sollte. Wenn ich diesen als meinen primären DNS festgelegt habe, tritt bei meinen DNS-Abfragen für öffentliche Sites eine seltsame Latenz auf. Abfragen für interne Datensätze scheinen zu funktionieren. Ich habe versucht, das Timeout für Weiterleitungen auf dem neuen DC auf 1 Sekunde zu reduzieren, wodurch ich eine kürzere Latenz für die öffentlichen Abfragen erhielt, was mich zu der Annahme veranlasst, dass bei allen öffentlichen Site-Abfragen auf diesem Server ein Timeout auftritt und er weitergeleitet wird.
Bevor ich die alte Maschine aus dem AD herabgestuft habe, habe ich sichergestellt, dass sich alle FSMO-Rollen auf einem anderen DC befanden, und wie bereits erwähnt, gibt es mehrere GCs.
Gibt es eine DNS-Einstellung für die Domäne, die ich übersehen habe, oder haben Sie eine Idee, wo ich als nächstes suchen soll?
Ist der neue Computername mit derselben IP der Übeltäter? Wäre es klug, den neuen DC herabzustufen, den AD zu verlassen, die Namen zu ändern und dann wieder beizutreten?
In den DNS-Protokollen des Server-Managers erhalte ich bei jedem Neustart eine Warnung mit folgendem Inhalt:
Der DNS-Server wartet auf das Signal der Active Directory-Domänendienste (AD DS), dass die erste Synchronisierung des Verzeichnisses abgeschlossen ist.
Doch gleich danach folgt ein Informationseintrag mit dem Inhalt:
"Der DNS-Server wurde gestartet.
Das Ausführen von NSLOOKUP und die Auswahl des Servers „neuer DC“ funktioniert einwandfrei und ist bei internen Abfragen sofort verfügbar, bei öffentlichen Abfragen tritt jedoch eine Zeitüberschreitung auf. Das Ausführen eines PING vom neuen DC zu einer öffentlichen Site behebt die öffentliche IP-Adresse einwandfrei.
Die Firewall ist auf dem Server ausgeschaltet und der DNS-Server-Dienst läuft.
Antwort1
Alle Ihre DNS-Einträge für AD verweisen auf den alten Server mit einem anderen Namen, auch wenn es dieselbe IP ist. Sie hätten den neuen DC mit einer neuen IP hinzufügen sollen. Das ist wahrscheinlich der Grund, warum Sie Probleme haben. Versuchen Sie, von Ihrem neuen DC aus ein „ipconfig /registerdns“ auszuführen, falls Sie das noch nicht getan haben. Außerdem werden GCs hauptsächlich für die Suche nach Objekten zwischen Gesamtstrukturen/Domänen verwendet. Da Sie nur eine Domäne haben, vermute ich nicht, dass das das Hauptproblem ist.
Antwort2
Ich glaube, ich habe herausgefunden, wo das Problem lag. Standardmäßig scheint der neue Server die anderen DCs als Weiterleitungen für nicht zwischengespeicherte Abfragen verwenden zu wollen, weshalb interne Abfragen funktionierten und öffentliche nicht. Ich habe diese Posts einfach entfernt und nur öffentliche DNS als Weiterleitungen gelassen, und jetzt läuft es viel reibungsloser. Ich vermute, das Timeout ist aufgetreten, weil ich nach einem Namen gefragt habe, den keiner der DCs im Cache hatte, und deshalb musste mein neuer DC zuerst warten, bis der andere DC den Namen aufgelöst hatte, und dann eine Antwort erhalten. Mit dem 2-Sekunden-Timeout war dies nie erfolgreich.
Danke an Jon für deinen Beitrag!