Sie sind der Netzwerkadministrator einer Windows Server 2003-Domäne, welche 2 Domänencontroller unter Windows Server 2003 betreibt. Zudem beinhaltet die Domäne 500 Windows XP Clients und 2 Windows Server 2003-Mitgliedsserver, welche als Datei- und Druckserver verwendet werden.

Der Domänen-Name lautet "ads.itrain.ch" und auf dem ersten Domänencontroller namens "DC1" wird der DNS-Dienst mit der entsprechenden Zone ausgeführt. Auf einem der Mitgliedsserver wird zudem der DHCP-Dienst ausgeführt, welcher autorisiert ist und über einen entsprechenden aktivierten Bereich des Subnets verfügt.

Die DNS-Zone ist mit den folgenden Eigenschaften konfiguriert:

- Typ: Primär, Active Directory integriert
- Replikationsbereich: alle DNS-Server der Domäne
- dynamische Updates: "sichere und unsichere"

Sie stellen fest, dass für den zweiten Domänencontroller keine Service-Records in den Zonen-Einstellungen existieren. Sie müssen diese mit dem geringst möglichen Aufwand erstellen.

Zudem stellen Sie fest, dass auch externe Kunden, welche ihren Notebook am Netzwerk anschliessen, Einträge in der DNS-Zone produzieren, welche aber nicht erwünscht sind.

Sie installieren zudem den DNS-Dienst auf den beiden Mitgliedsservern, um eine maximale Fehlertoleranz zu gewährleisten. Nach ein paar Tagen stellen Sie fest, dass diese keine Kopie der DNS-Zone der Domäne erhalten, obwohl der Replikationsbereich auf "alle DNS-Server der Domäne" eingestellt ist. Sie müssen diesen Umstand beheben.

Wie gehen Sie vor, um diese Probleme aus der Welt zu schaffen?

<B>Bitte antwortet wie folgt:</B>
- Teil-Lösungen willkommen
- keine unbegründeten Aussagen in dern Raum stellen
- versucht Euch klar und verständlich auszudrücken und umschreibt das Vorgehen oder Problem
- gebt mir Feedback per PM an Cal77, falls ihr Verbesserungsvorschläge und Kommentare zur Frage der Woche habt

Viel Spass!

Nicht gerade trivial. Wiso die Service-Records nicht repliziert werden, kann ich auf Anhieb nicht sagen.

Dass die 2 Memberserver keine Kopien der DNS Einträge erhalten liegt meiner (halbwissenden) Meinung nach daran, dass die beiden Domain-Controller AD-integrierte Zonen haben, und die Memberserver kein AD haben.
Da auch unsichere Updates erlaubt sind, sind die Gästenotebooks in der Lage DNS Einträge (unerwünschterweise) zu tätigen. Denke ich mal.
Vielleicht fällt mir später noch was plausibleres ein...
???

ich habe folgende ideen dazu:
dns-update auf "nur sichere" umstellen, dann können clients ohne gültiges domänen-konto keine dns-updates mehr durchführen.

gehe davon aus, dass dieses problem besteht, da auf den beiden mitgliedservern kein ad installiert ist und sie desshalb natürlich die replikation welche im zuge der ad-replikation geschieht nicht erhalten können.

auf dem dc1 in den eigenschaften auf dem tab "zonentransfer" erlauben und die ip-adressen dieser beiden server eintragen, oder aber für die beiden server einen ns-record in der zone erstellen und die zonenübertragung nur an nameserver gestatten.

anschliessend auf den beiden servern eine sekundäre-zone einrichten und den dc1 als master für die übertragung angeben.

@Spacyfreak: das mit den Gästenotebooks ist korrekt - mit der anderen Aussage bist Du auf dem richtigen Weg. Dennoch habe ich die Zonen-Eigenschaft eigentlich darauf eingestellt, dass an "alle DNS-Server der Domäne" repliziert wird - weshalb denn nicht auch auf die DNS-Dienste auf den Member-Servern?

@Sandro: Gästenotebooks: dito! Korrekt! Die Sache mit der Lösung für die Zonentransfers ist auch korrekt - mit der Aussage "an alle DNS-Server der Domäne" sind die DNS-Dienste auf den Mitgliedsservern immer noch nicht gemeint, obwohl dies dannach klingt. Demnach muss ein Workaround gefunden werden, welche Du hier schön umschreibst.

@All: Gilt es noch die Problematik mit dem fehlenden Service-Record zu lösen

Grüessli

Cal77

hoffentlich liest ms hier mit, sodass ich am nächsten freitag ein hübsches "passed" auf meinem auswerungsblatt der 291er lesen darf...

kannst ja mal Bill Gates einen Link auf diesen Thread senden ;-D

Grüessli

Cal77

Bei dieser Aufgabe habe ich null Ahnung

come on Swizz - versuchen kostet nichts ;-D

Auf DC2 den Anmeldedienst neu starten.

Grs Jürg

Typ: Primär, Active Directory integriert


Ja was denn nun; Primär oder Active Directory integriert ?

Grs Jürg

Auch eine ADS integrierte Zone ist eine primäre Zone - diese wird einfach im ADS gespeichert anstatt in einer Datei ;-D

Grüessli

Cal77

och sidi... warst in dubai wohl gerade an der kaffemaschine als wir das behandelt haben???

Haben wir nicht gehabt !!

Grs Jürg

genau Herr Sidler - so kenne ich Dich ;-D

Grüessli

Cal77

:lol:

mein absoluter dubai-lieblings-spruch...

kommst du im dezember eigentlich auch wieder?