Seite 1 von 1
DNS-Fehler auf dem BDC
Veröffentlicht: 20. Oktober 2018 - 08:01 Uhr
von Eric
Hallo,
ich erhalte zahlreiche Fehler auf einem BDC3:
UpdateRefs fehlgeschlagen mit WERR_DS_DRA_ACCESS_DENIED/NT-Code 0xc0002105 für 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done).
Ich habe einen korrekt konfigurierten ADBDC1 mit der FSMO-Rolle auf dem zweiten BDC2, der ebenfalls korrekt auf ADBDC1 verweist. BDC3 (der problematische BDC) verweist ebenfalls korrekt auf ADBDC1.
Dieser Fehler tritt immer wieder auf. Ich verstehe seit einigen Sekunden nicht, woran es liegt, und meine Internetrecherche hat mir keine praktikable Lösung geliefert. Haben Sie vielleicht eine Idee?
Vielen Dank im Voraus,
mit freundlichen Grüßen,
Eric
Betreff: DNS-Fehler auf dem BDC
Veröffentlicht: 25. Oktober 2018 - 09:59 Uhr
von dcardon
Hallo Eric,
Eric schrieb: ↑20. Okt. 2018 - 8:01 Uhr
Ich habe viele Fehler auf einem BDC3
Zur Erinnerung: Vermeiden Sie möglichst AD-Servernamen wie PDC und BDC. In Active Directory sind alle RWDCs (d. h. alle DCs außer RODCs) gleichwertig; es gibt keine primären oder Backup-DCs. Bei FSMO-Rollen sind manche DCs zwar gleichberechtigter als andere (frei nach George Orwell), aber die Unterscheidung zwischen PDC und BDC existiert nicht mehr wie in NT4.
Mit dem RODC-Konzept hat Microsoft ein Äquivalent zum BDC-Konzept geschaffen.
Eric schrieb: ↑20. Okt. 2018 - 08:01
UpdateRefs fehlgeschlagen mit WERR_DS_DRA_ACCESS_DENIED/NT-Code 0xc0002105 für 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)
Ich habe einen korrekten ADBDC1 mit der fsmo-Rolle auf dem zweiten BDC2. Die fsmo-Rolle verweist korrekt auf ADBDC1 und dann auf BDC3 (diejenige mit den Problemen verweist eindeutig auf ADBDC1).
Dieser Fehler tritt jede Sekunde auf; ich verstehe die Ursache nicht, und Internetrecherchen haben keine praktikable Lösung ergeben. Haben Sie eine Idee?
FSMO-Rollen sind nur sehr selten die Ursache eines Problems. Wenn lediglich die DomainDnsZones-Partition Probleme verursacht, empfiehlt es sich, sie herabzustufen und anschließend wieder hinzuzufügen. Um sie herabzustufen, stoppen Sie einfach Samba, leeren Sie das Verzeichnis `/var/lib/samba` (Sie müssen anschließend das leere Verzeichnis `/var/lib/samba/private` neu erstellen) und führen Sie dann auf ADBDC1 den Befehl `samba-tool domain demote --remove-other-dead-server=BDC3` aus.
Aufrichtig,
Denis
Betreff: DNS-Fehler auf dem BDC
Veröffentlicht: 14. November 2018 - 06:24 Uhr
von Eric
Hallo,
vielen Dank für Ihre Hilfe.
Hallo Eric,
Eric schrieb am
20. Oktober 2018 um 8:01 Uhr
Ich habe viele Fehler auf einem BDC3.
Zur Erinnerung: Es ist ratsam, AD-Servernamen wie PDC und BDC zu vermeiden. In Active Directory sind alle RWDCs (d. h. alle DCs, die keine RODCs sind) gleichberechtigt; es gibt keinen primären und keinen Backup-DC. Bei FSMO-Rollen gibt es zwar DCs, die gleichberechtigter sind als andere (um G. Orwell zu paraphrasieren), aber es gibt keine PDC/BDC-Unterscheidung wie in NT4.
Mit dem RODC-Konzept hat Microsoft ein Äquivalent zum BDC-Konzept geschaffen.
Eric schrieb: ↑
20. Oktober 2018, 08:01 Uhr:
UpdateRefs fehlgeschlagen mit WERR_DS_DRA_ACCESS_DENIED/NT-Code 0xc0002105 für 447da004-332f-42e7-90f9-7703dfe80125._msdcs.lyceeader.eu DC=DomainDnsZones,DC=lyceeader,DC=eu
[2018/10/20 07:54:09.599058, 0] ../source4/dsdb/repl/drepl_out_helpers.c:1087(dreplsrv_update_refs_done)
Ich habe einen korrekten ADBDC1 mit der fsmo-Rolle auf dem zweiten BDC2. Die FSMO-Rolle verweist korrekt auf ADBDC1 und dann auf BDC3 (das Problem bzw. die Probleme) – der Server verweist tatsächlich auf ADBDC1.
Dieser Fehler tritt jede Sekunde auf; ich verstehe die Ursache nicht, und Internetrecherchen haben keine praktikable Lösung ergeben. Haben Sie eine Idee?
FSMO-Rollen sind sehr selten die Ursache eines Problems. Wenn nur die DomainDnsZones-Partition das Problem verursacht, ist die beste Lösung, sie herabzustufen und wieder hinzuzufügen. Um sie herabzustufen, stoppen Sie einfach Samba, leeren Sie das Verzeichnis /var/lib/samba (Sie müssen anschließend das leere Verzeichnis /var/lib/samba/private neu erstellen) und führen Sie dann auf ADBDC1 `samba-tool domain demote --remove-other-dead-server=BDC3` aus.
Gibt es weitere Erläuterungen zum letzten Teil?
Für den Remote-Server müssen Sie lediglich Samba stoppen und das Verzeichnis /var/lib/samba leeren (Sie müssen anschließend das leere Verzeichnis /var/lib/samba/private neu erstellen). Anschließend). Wird dies auf BDC3 durchgeführt? Dann binde ich es wieder in die Domäne ein, indem ich es auf ADBDC1 verweise.
Mir war der Unterschied nicht ganz klar.
Entschuldigen Sie bitte die Verwendung der BDC-Namen; das ist für alle in der Abteilung einfacher.
Viele Grüße
,
Eric.
Betreff: DNS-Fehler auf dem BDC
Veröffentlicht: 14. November 2018 - 22:35 Uhr
von vcardon
Hallo Eric,
rufen Sie uns bitte im Büro an: +33240975755. Ich fürchte, Sie können bei Ihrem Problem nicht die gewünschte Hilfe erhalten. Ich vermute, dass Sie eine relativ große Organisation sind und daher Unterstützung über dedizierte Kanäle verdienen.
Ich gehe davon aus, dass Sie mit Restproblemen eines Upgrades von einem über 10 Jahre alten Samba3-NT4 auf Samba-AD ohne vorherige Bereinigung zu kämpfen haben. Das ist verständlich, da eine solche Bereinigung schwer zuverlässig zu dokumentieren ist.
Samba3-NT4 war, wie Windows NT, sehr tolerant, und diese Technologien ermöglichten sowohl gute als auch schlechte kreative Lösungen. Samba-AD, das das Verhalten von MSAD nachbildet, lässt deutlich weniger Spielraum; es ist starrer und daher sicherer. Insgesamt ist dies positiv, und diese Strenge kommt allen zugute. Diese Vorgeschichte kann jedoch unerwünschte Nebenwirkungen haben, wenn Sie nach einem Upgrade alte, nicht kompatible Objekte in Active Directory übernehmen.
Mit Microsoft Active Directory wurde die unter NT4 einst so große kreative Freiheit mit MSAD2000, dann 2003, 2008 usw. schrittweise eingeschränkt. Der Wechsel von einem alten Samba3-NT4-System, das zwar aktuell gehalten wird, aber immer noch im NT4-Modus läuft, zu Samba-AD bedeutet einen enormen Generationssprung. Um einen reibungslosen Betrieb zu gewährleisten, ist daher deutlich mehr Sorgfalt erforderlich. Wir bei TIS haben diese Erfahrung gemacht.
Mit freundlichen Grüßen,
Vincent C.