Netzwerk Voraussetzungen für einen untergeordneten AD

1. offizieller Beitrag

    Hi Leute,


    was sind die Voraussetzungen für die Installation unter Windows 2003 Server für einen 2. Domain Controller.


    Wie sicher einige wissen, ist unser Problem, dass es da mit dem replizieren, DNS sowie Kerberos und Anmeldeservern probleme gibt...


    Ich denke es liegt an der Konfig vom 1. DC.


    Von daher wie muss die Domäne vorbereitet werden? DNS usw.?


    Und wo muss der 2. sein DNS Server haben?...

    viele Grüsse


    StevensDE

    • Offizieller Beitrag

    Hy Stevens


    als Voraussetzungen gelten:


    1) keine Firewall zwischen dem 1ten und neuen DC (und wenn doch, dann sind ca 15 dedizierte Ports zu öffenen damit das ganze auch mit FW läuft). Bei einer vorhandenen FW kann man zwischen diesen beiden Servern während der Installationsphase IP vollständig und beidseitig öffnen. Das birgt nur einen sehr geringen Sicherheitsfaktor, sichert eine funktionierende INstallation und im Nachhinein kann man dann wieder die unnötigen Ports schliessen.


    1') der 1te DC muss ein sauber konfiguriertes DNS haben. D.H. es sollten keine alten, nicht mehr laufende DC´s in all den DNS-Unterzonen zu finden sein, und nur noch die Einträge vorliegen, die auch Sinn machen. Schau speziell in die _msdcs Zone als auch in dessen Unterzonen.


    siehe dazu


    http://www.microsoft.com/techn…ba-87a1-8791505e595d.mspx



    2) der neue Server sollte in seiner TCP/IP KOnfiguration den ersten DC als DNS Server eingetragen haben. nslookup muss alle Auflösungen (forward und reverse) beantworten können.


    3) dcdiag /s:name-dc1 /v sollte ohne Fehler auf dem neuen Server laufen laufen


    3) netdiag /v sollte ohne Probleme dem neuen Server laufen.


    4) der neue Server muss über den Befehl "netdom query fsmo" eine Antwort geben können, welcher Server in der Domäne die FSMO Rollen hält


    5) beide server müssen die gleiche Zeit haben


    6) alle Probleme auf dem 1ten DC müssen gelöst sein, sonst kannst du nicht sicher sein, dass nicht auch der neue DC mit den gleichen Problemen zu kämpfen hat, schliesslich teilen sich die beiden die gleiche DAtenbank, die gleich AD-Konfiguration, das gleiche Schema,etc.


    7) die Active Directory Site und Service Einstellungen müssen stimmen, d.h. alle relevanten IP-Netze müssen im AD Vorhanden sein und der richtigen AD-Site zugeordnet worden sein.


    8) Test mit NLtest.



    mit diesen Voraussetzungen müsste das ganze eigentlich klappen.



    Hier zur Unterstützung noch ein weiterer Link:


    http://www.petri.co.il/how_to_…ctory_on_windows_2003.htm


    mfg


    Jean-Claude

    Hi Jean Claude,


    oaky, danke für die Hinweise.


    Wir haben ja bereits den 1. DC nach der Anleitung von Daniel Patri installiert.


    Wenn ich deine Tests ausführe, also die beschriebenen Befhele, so werden diese auf dem 1. DC korrekt ausgeführt und ohne Fehler.


    D.h. ich gehe eigentlich davon aus, dass der 1. DC korrekt läuft.


    Dieselbe Zeit haben automatisch alle, da unser 1. DC die Zeit mit sich selbst sowie dem gesamten Neztwerk mit einem NTP Server aus dem Internet abgleicht.


    Wenn ich jetzt den 2. Server installiere,


    soll ich dann da DNS, WINS oder so ein kram installieren?


    Oder einfach nur:


    Installation 2. Server, danach 2. Server erst einmal als "Mitglied in die Domäne reinmachen" (per Arbeitsplatz) danach wird der 2. Server ja durch unseren SUS erstmal komplett geupdated. Danach schauen ob Zeit stimmt.


    Und dann nochmal die ganzen Befehle ausführen, welche du mir gegeben hast und anschliessend den Server als untergeordneten Domän-Controller mit in die Domäne aufnehmen?


    Eine Frage noch: Ist es denn normal, wenn ein neuer DC dazu kommt, dass der Verzeichnisdienst mal ein Fehler protokolliiert?


    PS: Eine Firewall setzen wir nur nach aussen ein. D.h. im Netz selbst gibt es keine Firewall, von der Seite sollte es in diesem Sinne keine Probleme geben.

    viele Grüsse


    StevensDE

    • Offizieller Beitrag

    Hallo,


    ich mal wieder.


    Also, wenn ich mich recht an meine letzte Schulung erinnere,
    (man schon so lange her...)
    sollte das so ablaufen:
    (Wenn das einer Besser weiss - kann durchaus sein)
    (Kommt jetzt alles aus dem "Kopf")


    Planung der Sub-Domain
    Festlegen der Namen und Standorte
    Doku erstellen
    List mit aufgaben erstellen, fertige prüfen und abhaken
    Mit dem DNS-Wizard auf dem DC die neue Subdomain erstellen,
    neue Domänen-Unterstruktur,
    Typ "Active Directory integriert".
    (Mit allem was dazu gehört, IP-Bereich, Reserve-Lookup etc.)
    Den Server als Master einer Subdomain in die neue
    Struktur aufnehmen.
    Auch dort DNS und WINS installieren,
    wieder Typ "Active Directory integriert",
    nur ist der Server NUR für die Subdomain verantwortlich,
    weiss aber, das es die übergeordnete Struktur gibt.


    Weiter kann ich mich nicht erinnern.


    Vielleicht hilft´s dir ja.
    8-)