Fehler in DNS (Windows DC)

[Maniska]

Hallo zusammen,

wie es scheint habe ich ein Problem mit meiner DNS Umgebung.

Aufgefallen ist das Ganze als beim Hinzufügen zur Domäne ein Windows Server 2016 nach dem "Willkommen in der Domäne" Dialog mit einer Fehlermeldung weitergemacht hat. Mit ein bisschen Fehlermeldung googeln kam ich darauf, mal ein dcdiag /test:dns zu versuchen, und was muss ich sehen... Anscheinend geistern noch 2 extrem mega uralt Einträge da rum. Zumindest meldet er, dass für uralterDc01 und uralterDc02 der "glue A record" vermisst wird. Wundert mich jetzt nicht, dieser Server gibt es nicht mehr, die wurden schon ersetzt , da habe ich noch nicht hier gearbeitet...

Hier die vollständige Ausgabe von dcdiag /test:dns:

C:\>dcdiag /test:dns

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = aktuellerDC01
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Standort\aktuellerDC01
      Starting test: Connectivity
         ......................... aktuellerDC01 hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Standort\aktuellerDC01

      Starting test: DNS

         DNS-Tests werden ordnungsgemäß ausgeführt. Warten Sie einige Minuten...
         ......................... aktuellerDC01 hat den Test DNS bestanden.

   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: Domäne

   Unternehmenstests werden ausgeführt auf: Domäne.local
      Starting test: DNS
         Testergebnisse für Domänencontroller:

            Domänencontroller: aktuellerDC01.Domäne.local
            Domäne: Domäne.local


               TEST: Delegations (Del)
                  Fehler: DNS-Server: uralterDc01.Domäne.local. IP: <Nicht verfügbar> [Missing glue A record]
                  Fehler: DNS-Server: uralterDc02.Domäne.local. IP: <Nicht verfügbar> [Missing glue A record]

               TEST: Dynamic update (Dyn)
                  Warning: Failed to delete the test record dcdiag-test-record in zone Domäne.local

         Zusammenfassung der DNS-Testergebnisse:

                                            Auth. Bas. Weiterl. Entf.  Dyn.
            RReg. Erw.
            _________________________________________________________________
            Domäne: Domäne.local
               aktuellerDC01                      PASS PASS PASS FAIL WARN PASS n/a

         ......................... Der Test DNS für Domäne.local ist
         fehlgeschlagen.

Soweit ich das gesehen habe verursacht das ganze keine akuten Probleme, allerdings weiß ich jetzt dass die Server da noch rum spuken und hätte die gerne weg.

Nur finde ich nichts, weder in AD - Benutzer und Computer, noch in AD Standort und Dienste. Auch mit ntdsutil finde ich nur meine aktuellen DCs, keine Leichen.

Wie bekomme ich das Sauber und Ordentlich?

[t0pi]

In deinem aktuellen DNS Server sind die auch nicht hinterlegt?
Befanden sich uralter DC 1 und 2 in der aktuellen domäne? Wurde damals beim entfernen der beiden DCs ein Schritt vergessen?

https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-removing-a-domain-controller-server-manually/

[Maniska]

Ob was vergessen wurde kann ich dir nicht sagen, war wie gesagt vor meiner Zeit, oder auch "ich war's nicht!".

Im DNS habe ich nur meine aktuellen DCs gefunden, dort hatte ich zuerst geschaut. Wie gesagt, ich finde die Viecher nicht und bei

C:\WINDOWS>ntdsutil
ntdsutil: metadata cleanup
[...]
select operation target: list servers in site

bei bekomme ich genau 3 Server angezeigt: aktuellerDC01, neuerDC02, kommtwegDC1. Nix Altes...

[Maniska]

Keiner mehr eine Idee, oder zumindest eine Hinweis wo ich noch nachschauen könnte?

Wie gesagt, anscheinend machen die Dinger seit Jahren kein Problem. Offensichtlich scheinen sie nicht zu stören, allerdings weiß ich nun dass sie da sind...

[OkiDoki]

Kann es sein, dass damals beim Hinzufügen des aktuellen DCs und Entfernen der alten DCs vergessen wurde die FSMO Rollen umzuziehen bzw. der alte DC nicht richtig heruntergestuft wurde. Ich hatte das bei einem Kunden auch mal und danach hat der DNS Server rumgespackt.

Kannst du relativ simpel checken über "netdom query fsmo" in der cmd oder powershell.

Bearbeitet 5. Dezember 2018 von OkiDoki

[Maniska]

Gerade überprüft: Nope, alle FSMO Rollen liegen alle auf dem "aktuellerDC01" wo sie hingehören. Genau so wie ich mir das gedacht habe, bzw meine Erinnerung gesagt hat.

Ich bin recht ratlos woher der Verweis auf die Server kommt, weil die eben sonst nirgends mehr auffindbar sind.

[Bennox]

Wenn der Server nicht richtig entfernt wurde, dann muss dieser in den alten DNS Einstellungen der Domäne noch hängen. Dieses findest du normalerweise unter dem laufenden DNS Server, dort in deiner Forward-Lookupzone und dort in den Bereichen _msdcs, _sites, _tcp und _udp schauen ob hier der Name oder dessen ID noch existent ist.

Wurden diese hier entfernt musst du noch die Reverse-Lookupzone schauen, hier in den zugeordneten IP-Bereich gucken und dort den NAMENSERVER (NS) entfernen, der sich noch dem alten zuzuordnen ist.

Nach dem entfernen solltest du den DNS einmal als Dienst neu starten und die Sync auf evtl. andere Server abwarten. Evtl. hast du dieses mit einem der DNS bzw DC angesprochen, solltest du hier ein ipconfig /flushdns machen, damit der lokale DNS Cache gelöscht wird.

Dann sollten die alten Einträge verschwunden sein. Im AD wirst du wahrscheinlich nichts mehr vom alten DC finden.