In 17 Schritten zum perfekten Domänencontroller



  • Hallo zusammen
    Kann man auf dem physischen Server (2019), der als Host für VM's gedacht ist, auch gerade die Rollen für den Domänecontroller aktivieren? Passt das? Extrem kleines Unternehmen, wenig Datenverkehr und kleine Infrastruktur. Die VM haben folgende Aufgaben: 2x Terminalserver (Citrix), 1x SQL Server, 1x Fileserver. Gibt es Funktionen, die man zusammenfassen könnte? Immerhin schenken da Lizenzkosten extrem ein. Einen Server "nur" mit AD und DNS beauftragen zu können, ist rein Hardwaremässig betrachtet eine extrem geringe Aufgabe.
    Vielen Dank für eure Antworten und Anregungen.



  • Kommt in einem weiteren Teil.



  • Ich würde dafür lieber eine oder zwei VMs aufsetzen.



  • Hallo Herr JoosSie müssen hier in diesem Chat relativ viel Kritik einstecken. Als "Mutmacher", sich als nicht "Vollprofi" an das Thema heranzuwagen, ist die Anleitung für mich vollkommen genügend. Einzelheiten sind sowieso vorher zu prüfen. Hier schon einmal vielen Dank für den Beitrag.Meine obenstehende Frage ist aber tatsächlich etwas dürftig beantwortet. Dann doch lieber überhaupt nicht antworten :-)Es ist klar, dass "Alle" davon abraten DC und Host gemeinsam zu betreiben. Ich sehe aber technisch gesehen einfach keinen Grund. In einer grossen Umgebung bin ich einverstanden. Bei kleinen Umgebungen macht der Host 25% aus und der DC alleine nochmals 25%. Dann weiter ist der DC alleine betrieben völlig unterbeschäftigt. Ich bekomme leider überall die gleiche Antwort: "…es wär besser, wenn..." Aber mich würde interessieren, ob es schon mal jemand versucht hat. Einen technischen Beweis wäre natürlich das beste. Ich werde nun den DC, den Druckserver, sowei DNS, AD und HDCP auf dem Host für die VM's betreiben. Meine Erfahrungen werde ich dann allenfalls hier posten.Trotzdem vielen Dank für Ihre Unterstützung.



  • Danke!!



  • Artikel ist ungenau verfasst. Es sind oft Sachen dabei die vorausgesetzt werden, nicht aber direkt aus dem Text heraus abgeleitet werden können.
    Das Lesen dieses Textes ist eine echte Herausforderung.



  • Für das Grundwissen ist es sehr gut beschrieben. Ansätze können viele angegangen werden, dann wird es aber schnell unübersichtlich. Wenn man nicht vom Fach ist, lässt man solche Installationen in einer Produktiven Umgebung sowiso von einem Fachmann implementieren.



  • AD-Dienste sollten keinesfalls neben Hyper-V betrieben werden! Es ist seitens MS nicht supported. Außerdem meine ich mich erinnern zu können, dass es Lizenrechtlich nich abgedeckt ist, da der Hyper-V die eigene OS-Lizenz wohl aushebelt - hier bitte ich aber um Eigenrecherche. Einen einzelne DC auf einer VM zu betreiben ist auch nicht empfohlen. Hier kann es zu unerwünschtem Verhalten kommen - z.B. VMs starten nicht mehr wenn der DC offline ist und somit der DC selbst auch nicht. Besser: Kleine Hardwaremaschine für den DC nutzen, dieser braucht kaum Leistung.



  • Diesen Artikel durften wir im "Unterricht" durcharbeiten. Danke Herr Sommer! Habe in keinem Unterricht so wenig gelernt wie bei Ihnen! Viel Spaß an die nächsten 20 Jahrgänge die diesen Schei* machen müssen... Wie konnte so jemand Lehrer werden? Trotzdem danke an IP insider für diesen tollen Artikel



  • Ich muss mich meinem Vorgänger "bayrischebadeente" anschließen. Wir haben diesen Artikel ebenfalls im Unterricht bei Herrn F. Sommer (sommervision) durchgearbeitet und ich finde, dass es wirklich unglaublich ist, dass es ein Lehrer schafft, so ein interessantes Thema derartig langweilig und zäh zu gestalten. Von Lerneffekt ist hier nicht zu reden...
    Trotzdem toller Artikel!



  • Hallo Herr Joos,

    leider kommt am Schluß des DC-Promo betreff der Delegation eine Fehlermeldung, dass eine Delegierung nicht möglich ist. NSLookup ab funktioniert einwandfrei.
    Auch die Konfiguration des DNS dauert ungewöhnlich lange.
    Gibt es vielleicht einen Lösungsansatz?

    Danke und Grüße



  • Posten Sie mal die Fehlermeldung aus der Protokolldatei. Normalerweise sollte alles durchlaufen.



  • Hallo Herr Joos,

    gerne..

    Zuerst sieht alles sauber aus.
    7bae897d-3f41-46b3-9ca9-df858e66a55d-grafik.png

    Am Schluss kommt dann diese Meldung:

    72350ba9-8298-4af3-bd1c-25f6cb857636-grafik.png

    Ich werde nicht das ganze Log posten, sondern nur den DNS- Teil. Besten Dank im Voraus für ihre Mühe:

    dcpromoui 1370.FA4 0A64 09:14:51.613 Enter State::SetOperationResultsFlags 0x0
    dcpromoui 1370.FA4 0A65 09:14:51.613 Enter DoPostOperationStuffWithText
    dcpromoui 1370.FA4 0A66 09:14:51.613 Enter State::GetOperation FOREST
    dcpromoui 1370.FA4 0A67 09:14:51.613 Enter SetupIMRoleTransferIfNecessary
    dcpromoui 1370.FA4 0A68 09:14:51.613 Enter State::GetNeedToTransferIMRole
    dcpromoui 1370.FA4 0A69 09:14:51.613 bNeedToTransferIMRole = false
    dcpromoui 1370.FA4 0A6A 09:14:51.613 Enter DoDnsConfigurationWithText
    dcpromoui 1370.FA4 0A6B 09:14:51.613 Enter State::GetOperation FOREST
    dcpromoui 1370.FA4 0A6C 09:14:51.613 Enter State::AutoConfigureDNS true
    dcpromoui 1370.FA4 0A6D 09:14:51.613 Enter State::GetDnsSetupResult Success
    dcpromoui 1370.FA4 0A6E 09:14:51.613 Enter State::GetOperation FOREST
    dcpromoui 1370.FA4 0A6F 09:14:51.613 Enter State::GetNewDomainDNSName contoso.local
    dcpromoui 1370.FA4 0A70 09:14:51.613 Enter State::GetOperation FOREST
    dcpromoui 1370.FA4 0A71 09:14:51.613 Enter TxtConfigureDns contoso.local
    dcpromoui 1370.FA4 0A72 09:14:51.613 Enter ConfigureDns contoso.local
    dcpromoui 1370.FA4 0A73 09:14:51.613 Enter TxtProgressReporter::UpdateButton
    dcpromoui 1370.FA4 0A74 09:14:51.613 Enter State::GetSkipAutoconfigureDns false
    dcpromoui 1370.FA4 0A75 09:14:51.613 Enter State::GetOperation FOREST
    dcpromoui 1370.FA4 0A76 09:14:51.613 Enter State::ShouldConfigDnsClient
    dcpromoui 1370.FA4 0A77 09:14:51.613 shouldConfigDnsClient = true
    dcpromoui 1370.FA4 0A78 09:14:51.613 Enter State::GetOperation FOREST
    dcpromoui 1370.FA4 0A79 09:14:51.613 Calling DnsSetup
    dcpromoui 1370.FA4 0A7A 09:14:51.613 lpszNewDomainName : contoso.local
    dcpromoui 1370.FA4 0A7B 09:14:51.613 lpszFwdZoneName : contoso.local.
    dcpromoui 1370.FA4 0A7C 09:14:51.613 lpszFwdZoneFileName : contoso.local.dns
    dcpromoui 1370.FA4 0A7D 09:14:51.613 lpszRevZoneName : (null)
    dcpromoui 1370.FA4 0A7E 09:14:51.613 lpszRevZoneFileName : (null)
    dcpromoui 1370.FA4 0A7F 09:14:51.613 dwAutoconfigFlags : 0x13
    dcpromoui 1370.FA4 0A80 09:14:51.625 DnsRpcError: received error 9609
    dcpromoui 1370.FA4 0A81 09:14:51.625 HRESULT = 0x80072589
    dcpromoui 1370.FA4 0A82 09:14:51.625 Info: The DNS zone could not be created because it already exists. You should check the zone configuration and migrate it to Active Directory.
    dcpromoui 1370.FA4 0A83 09:14:51.625 Enter State::GetCreateDnsDelegation true
    dcpromoui 1370.FA4 0A84 09:14:51.625 Enter State::GetOperation FOREST
    dcpromoui 1370.FA4 0A85 09:14:51.625 Enter State::GetDcNetbiosName
    dcpromoui 1370.FA4 0A86 09:14:51.625 Enter Computer::GetNetbiosName
    dcpromoui 1370.FA4 0A87 09:14:51.625 CORP-DC01
    dcpromoui 1370.FA4 0A88 09:14:51.625 Calling Dns_CreateDelegationInParent
    dcpromoui 1370.FA4 0A89 09:14:51.625 Start of parameter section
    dcpromoui 1370.FA4 0A8A 09:14:51.625 pwszDomainName : contoso.local
    dcpromoui 1370.FA4 0A8B 09:14:51.625 pwszHostName : CORP-DC01.contoso.local.
    dcpromoui 1370.FA4 0A8C 09:14:51.625 dwFlags : 1
    dcpromoui 1370.FA4 0A8D 09:14:51.625 End of parameter section
    dcpromoui 1370.FA4 0A8E 09:14:51.625 The following credentials will be used: 'CORP-DC01\administrator'.
    dcpromoui 1370.FA4 0A8F 09:14:51.625 Attempting to create delegation in parent domain
    dcpromoui 1370.FA4 0A90 09:14:51.625 Domain name: contoso.local
    dcpromoui 1370.FA4 0A91 09:14:51.625 DC host name: CORP-DC01.contoso.local.
    dcpromoui 1370.FA4 0A92 09:14:51.625 Delegation flags: 0x00000001
    dcpromoui 1370.FA4 0A93 09:14:51.625 Credentials: CORP-DC01\administrator
    dcpromoui 1370.FA4 0A94 09:14:51.625 Disabling IDN encoding in DnsCache Parameters
    dcpromoui 1370.FA4 0A95 09:14:56.627 Dns_DoesDomainHostDns testing domain name local
    dcpromoui 1370.FA4 0A96 09:15:06.928 SOA query failed with error code 9002
    dcpromoui 1370.FA4 0A97 09:15:06.928 Dns_DoesDomainHostDns returning true with error 9002
    dcpromoui 1370.FA4 0A98 09:15:06.928 Found parent domain hosting DNS at local.
    dcpromoui 1370.FA4 0A99 09:15:06.928 Dns_CountParentNsRecordsForDomain performing NS query for local.
    dcpromoui 1370.FA4 0A9A 09:15:16.658 NS query returned 9002 for domain contoso.local., parent local.
    dcpromoui 1370.FA4 0A9B 09:15:16.658 Dns_CountParentNsRecordsForDomain failed with error 9002 returning count 0 for domain contoso.local., parent local.
    dcpromoui 1370.FA4 0A9C 09:15:16.658 Dns_DoesDomainHostDns testing domain name local
    dcpromoui 1370.FA4 0A9D 09:15:27.645 SOA query failed with error code 9002
    dcpromoui 1370.FA4 0A9E 09:15:27.645 Dns_DoesDomainHostDns returning true with error 9002
    dcpromoui 1370.FA4 0A9F 09:15:27.645 Found parent domain hosting DNS at local.
    dcpromoui 1370.FA4 0AA0 09:15:27.645 Dns_CountParentNsRecordsForDomain performing NS query for local.
    dcpromoui 1370.FA4 0AA1 09:15:38.275 NS query returned 9002 for domain contoso.local., parent local.
    dcpromoui 1370.FA4 0AA2 09:15:38.275 Dns_CountParentNsRecordsForDomain failed with error 9002 returning count 0 for domain contoso.local., parent local.
    dcpromoui 1370.FA4 0AA3 09:15:38.275 Dns_CountNsRecordsForDomain performing NS query for contoso.local.
    dcpromoui 1370.FA4 0AA4 09:15:39.277 NS query returned 1214 for domain contoso.local.
    dcpromoui 1370.FA4 0AA5 09:15:39.277 Dns_CountNsRecordsForDomain failed with error 1214 returning count 0 for domain contoso.local.
    dcpromoui 1370.FA4 0AA6 09:15:49.984 Create delegation in parent failed with error 9002
    dcpromoui 1370.FA4 0AA7 09:15:49.984 DNS delegation creation rc = 0x232a
    dcpromoui 1370.FA4 0AA8 09:15:49.984 Enter TxtDnsConfigFailureHandler::Handle
    dcpromoui 1370.FA4 0AA9 09:15:49.985 Enter State::SetDnsSetupResult Failure
    dcpromoui 1370.FA4 0AAA 09:15:49.985 Enter State::SetHadNonCriticalFailures
    dcpromoui 1370.FA4 0AAB 09:15:49.985 b = true
    dcpromoui 1370.FA4 0AAC 09:15:49.985 installStatus = 2
    dcpromoui 1370.FA4 0AAD 09:15:49.985 Enter State::GetParentZoneName contoso.local
    dcpromoui 1370.FA4 0AAE 09:15:49.985 Enter GetErrorMessage 8007232A
    dcpromoui 1370.FA4 0AAF 09:15:49.985 false
    dcpromoui 1370.FA4 0AB0 09:15:49.985 error configuring DNS
    dcpromoui 1370.FA4 0AB1 09:15:49.985 Enter State::AddFinishMessage DCPromo was unable to create a DNS delegation in the parent zone: contoso.local. This could be because you do not have permissions to do so, or because the zone is hosted by a server that does not run Windows. To ensure that this domain controller can be found by other computers on the network, you must create a DNS delegation in the parent zone for this domain. To do so, contact an administrator who is responsible for the DNS zone: "contoso.local".
    The error was: DNS server failure.



  • Haben Sie die dynamische Aktualisierung von DNS in der Zone aktiviert? Es scheint, dass die Zone nicht richtig konfiguriert ist. Sie können diese vorher manuell anlegen, müssen aber dynamische Updates zulassen. Oder Sie löschen die Zone mal und lassen den DC das selbst anlegen.



  • Hallo Herr Joos,

    vielen Dank erstmal für ihre Unterstützung.
    Ich habe eine VM, wo ich jederzeit von vorne beginnen kann. Diese Einstellung ist bei aktiviertem DNS gemäß ihrer Beschreibung. Noch ohne ADDS.
    Es ist eigentlich alles so konfiguriert, wie es sein sollte:
    8891bbe3-1b10-4eef-99cd-ad161a280dc6-grafik.png



  • Ich gehe davon aus, Sie sind mit einem Admin-Konto angemeldet?
    Hat der DC bei sysdm.cpl den FQDN der Domäne?
    Ist in den Netzwerkeinstellungen der lokale DNS-Server als primärer DNS-Server eingetragen?
    Löschen Sie die Zone und erstellen Sie diese neu mit einem anderen FQDN
    Die Einstellungen im Beitrag funktionieren so auf zahlreichen Systemen. Irgendwas scheint bei Ihnen mit den Berechtigungen und/oder der DNS-Konfiguration nicht zu funktionieren.
    Aber das umfassend zu analysieren, fehlt mir leider die Zeit.



  • @Thomas-Joos sagte in In 17 Schritten zum perfekten Domänencontroller:

    Ich gehe davon aus, Sie sind mit einem Admin-Konto angemeldet? -->Ja
    Hat der DC bei sysdm.cpl den FQDN der Domäne? -->Ja
    Ist in den Netzwerkeinstellungen der lokale DNS-Server als primärer DNS-Server eingetragen?-->Ja
    Löschen Sie die Zone und erstellen Sie diese neu mit einem anderen FQDN--> Werde ich mal testen
    Die Einstellungen im Beitrag funktionieren so auf zahlreichen Systemen. Irgendwas scheint bei Ihnen mit den Berechtigungen und/oder der DNS-Konfiguration nicht zu funktionieren.-->Es sind manchmal die kleinen Dinge, die Großes scheitern lassen.. Irgendwo ist da Sand im Getriebe...
    Aber das umfassend zu analysieren, fehlt mir leider die Zeit.--> Sie haben schon viel getan. Mehr als ich vermutet habe. Vielen Dank für ihre Zeit und die Unterstützung.
    Bleiben Sie gesund und viele Grüße
    Mario Becker



  • ...weiter Info zu dem Thema:
    Ich habe einen neue FQDN erzeugt und auch mal eine andere Server - Version genommen. Hat alles nichts gebracht...
    Hat vielleicht jemand die gleichen Erfahrungen, wie ich gemacht?

    Grüße



  • Ich vermute dass das Problem die Verwendung der TLD ".local" ist. Auch wenn in vielen Artikeln immer noch empfohlen wird diese zu für interne Domains zu verwenden, steht dies im Konflikt mit mDNS. Da hier "contoso.local" gewählt wurde, gehe ich mal davon aus das es sich um eine Testumgebung handelt, das Problem dürfte mit "contoso.test" z.B. nicht auftreten. Da aber mittlerweile "alles" als TLD genommen werden kann, könnte auch das, zumindest theoretisch, irgendwann zu Problemen führen (Für eine Testumgebung ggf. nicht relevant). Die einzige Domain die per Definition niemals Konflikte verursachen wird, ist "home.arpa".



  • @Benjamin-Adam
    Vielen Dank für den Rat, aber ich habe diesen Gedanken auch schon in Betracht gezogen und das Suffix "contoso.int" genommen. Wie in dem Artikel. Ihren Vorschlag habe ich trotzdem mal umgesetzt und den Suffix auf "contoso.arpa" gesetzt. Bei der Einrichtung der FW- Lookup-Zone kam eine interessante Feststellung zum Vorschein:
    3590637c-0b3c-4714-9dad-74ce680f99de-grafik.png
    *.arpa wird nicht genommen.
    Auch für mich was Neues...


Log in to reply