Jump to content

Zweiter DC alle Benutzer melden sich fast nur noch dort an

wbs2008

Von wbs2008
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

wbs2008 Fellow

wbs2008   10

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe den zweiten DC jetzt aufgesetzt, inkl. DNS und allem was dazu gehört. Was mir so auffällt, das sich seit dem es den zweiten DC gibt, alle Benutzer nur noch diesen als Anmeldeserver haben.

 

So gut wie niemand wird mehr am ersten DC angemeldet. Es sind natürlich noch einige, aber die mehrzahl bekommt den zweiten.

Wie kann denn das sein? Vor allem, was mache ich, hoffe nicht, das es mal passiert wenn der zweite mal ausfällt.

 

Ich hab die DNS Server über Kreuz einegtragen...

Was ich gerade versuche zu erörtern ist, wenn der zweite DC ausfällt, auf dem jede Menge User angemeldet sind, übernimmt dann ohne Ab und Anmeldung der DC1 diese Aufgabe oder sind die Benutzer dann schlichtweg einfach nicht mehr angemeldet?

 

Der zweite DC war dafür gedacht, zu übernhemen wenn am ersten, wie in letzter Zeit mal was gemacht werden muss... Klar, würden beide zur Verfügung stehen, aber das sich das so stark äußert, hätte ich nicht gedacht.

 

Ich kann aber so wie ich das verstanden habe, auch nicht vorgeben, das der DC1 der primäre DC sein soll, an dem sich angemdelt wird, oder?

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.110

Geschrieben
Geschrieben
Hallo zusammen,

 

ich habe den zweiten DC jetzt aufgesetzt, inkl. DNS und allem was dazu gehört. Was mir so auffällt, das sich seit dem es den zweiten DC gibt, alle Benutzer nur noch diesen als Anmeldeserver haben.

 

So gut wie niemand wird mehr am ersten DC angemeldet. Es sind natürlich noch einige, aber die mehrzahl bekommt den zweiten.

Wie kann denn das sein? Vor allem, was mache ich, hoffe nicht, das es mal passiert wenn der zweite mal ausfällt.

 

Ich hab die DNS Server über Kreuz einegtragen...

Was ich gerade versuche zu erörtern ist, wenn der zweite DC ausfällt, auf dem jede Menge User angemeldet sind, übernimmt dann ohne Ab und Anmeldung der DC1 diese Aufgabe oder sind die Benutzer dann schlichtweg einfach nicht mehr angemeldet?

 

Der zweite DC war dafür gedacht, zu übernhemen wenn am ersten, wie in letzter Zeit mal was gemacht werden muss... Klar, würden beide zur Verfügung stehen, aber das sich das so stark äußert, hätte ich nicht gedacht.

 

Ich kann aber so wie ich das verstanden habe, auch nicht vorgeben, das der DC1 der primäre DC sein soll, an dem sich angemdelt wird, oder?

 

Welchen DNS Server bekommen deine Clients zugewiesen? Ist die Hardware des neuen Servers viel besser als die des Alten?

Fahr den neuen runter, dann weißt du was passiert ;)

 

Bye

Norbert

Link zu diesem Kommentar
wbs2008 Fellow

wbs2008   10

Geschrieben
  • Autor
Geschrieben

Meine Clients bekommen beide DNS Server zugewiesen...

Den ersten primär, den zweiten Sekundär...

 

Den zweiten einfach so runterfahren, halte ich dann doch für gewagt...

Im grunde ist die zweite Hardware die selbe... Nur diese hat eben nichts zutun, sagen wirs mal so... Der erste DC hat eine Freigabe, auf die einige zugreifen.

 

Masterbrowser ist der DC1...

Die Clients nutzen als Logonserver meistens den zweiten, das ist ja das, was komisch ist...

 

Kann man das irgendwo festlegen, nutz primär DC1?

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   2.110

Geschrieben
Geschrieben
Den zweiten einfach so runterfahren, halte ich dann doch für gewagt...

 

Warum? Dafür hat man zwei DCs.

 

Im grunde ist die zweite Hardware die selbe... Nur diese hat eben nichts zutun, sagen wirs mal so... Der erste DC hat eine Freigabe, auf die einige zugreifen.

 

Mehr macht der erste nicht?

 

 

Masterbrowser ist der DC1...

Die Clients nutzen als Logonserver meistens den zweiten, das ist ja das, was komisch ist...

 

Kann man das irgendwo festlegen, nutz primär DC1?

 

Man könnte es festlegen, aber warum sollte man das wollen? Warum stört dich das überhaupt? :)

 

Bye

Norbert

Link zu diesem Kommentar
wbs2008 Fellow

wbs2008   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

nein, das stört mich ja nicht wirklich.

Mir ist klar, das man auch deshalb zwei DCs hat.

 

Ich will halt nur rauskriegen, warum sich plötzlich so viele auf dem zweiten DC anmelden, das muss doch irgendwie begründbar sein.

Ich vermute halt mal, wer schneller antwortet.

 

Natürlich hat man dafür zwei DCs, das man einen runterfahren kann.

Das war ja auch der Sinn der Sache, warum es einen zweiten DC geben sollte.

 

Mich interessieren ja folgende Dinge, ich werde das noch probieren, aber vorher schon zu wissen, was evtl. passiert finde ich halt besser...

Angenommen, ich fahre den zweiten DC jetzt runter. Die Clients haben beide DCs als DNS eingetragen.

 

Dann dürfte also doch überhaupt nichts passieren im grunde oder?

Weil der Client kann ja nun mal beide dazu befragen, richtig?

So verstehe ich das jedenfalls... Ich versthe das Verfahren auch für den Zugriff auf Shares...

Er kann wenn ich das richtig verstanden habe, beide befragen... Ob Share oder eben PING oder sonstwas...

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Guten Abend,

 

Ich will halt nur rauskriegen, warum sich plötzlich so viele auf dem zweiten DC anmelden, das muss doch irgendwie begründbar sein.

Ich vermute halt mal, wer schneller antwortet.

 

Nein, es kommt nicht darauf an, "wer schneller antwortet", sondern welcher DC über DNS zurückgegeben wurde - im Normalfall wird der LOGON Server genutzt, der beim Computerstart genutzt wurde (secure channel). Sollte der erste zurückgegebene DC nicht antworten, werden die nächsten DCs herangezogen, die vom DNS zurückgegeben wurden (entweder in der Site oder in den globalen DNS Einträgen). Daher wäre zuerst einmal interessant, ob an den Prioritäten / Gewichtungen der DNS Einträge der DCs geschraubt wurde oder ob die Clients als auch die DCs korrekten Sites zugeordnet sind. Hast Du die Subnetze entsprechend den Sites zugewiesen bzw. sind überhaupt mehrere Sites vorhanden?

 

Ggf. könntest Du einmal NETLOGON Logging einschalten (Client und Server) als auch die DNS Einstellungen noch einmal prüfen.

Enabling debug logging for the Net Logon service

 

Ein Netzwerktrace während eines Computerneustarts eines Clients oder während eines "NLTEST /SC_RESET:domain.tld" kann auch schon einige interessante Informationen liefern.

 

NLTEST kannst Du auch nutzen, um zu schauen, ob tatsächlich immer der stärker belastete DC bei einem DsGetDCName verwendet wird: "NLTEST /DSGETDC:domain.tld". Bekommst Du immer denselben DC zurückgeliefert?

 

Er kann wenn ich das richtig verstanden habe, beide befragen... Ob Share oder eben PING oder sonstwas...

 

Es kommt immer darauf an, was genau genutzt wird. Für reine "DC-Funktionen" / "DC-Dienste" sollte es keine Probleme machen, einen der beiden DCs abzuschalten. Wichtig dabei wäre, daß auf den DCs selbst auch die beiden DNS Server eingetragen sind.

 

Sollten natürlich andere Dienste auf den DCs laufen, kommt es vielleicht zu Problemen.

 

Vor dem Abschalten eines DCs solltest Du meines Erachtens erst einmal die Punkte oben prüfen / loggen. Zusätzlich wäre auch die Ausgabe eines DCDIAG / NETDIAG relevant.

 

How Domain Controllers Are Located in Windows

 

Viele Grüße

olc

Link zu diesem Kommentar
wbs2008 Fellow

wbs2008   10

Geschrieben
  • Autor
Geschrieben

Hallo,

 

danke für die Antwort...

Gescharaubt wurde an gar nichts...

 

Ja es gib einige Sites, die Standorte... Allerdings wurde der DC der richtigen Site zugeordnet und das Subnet stimmt dahingehend auch...

 

Vorher haben sich die Clients ja auch nur am ersten angemeldet.

Ich habe das ja zwischendurch immer mal wieder gecheckt...

Es gab ja auch blos in meiner Site den einen...

 

In beiden DCs läuft die Überkreuztechnik...

Speich auf DC1 ist der DC2 Primär DNS und umgekehrt...

 

Der zweite DC ist tatsächlich nur einfach dem Netz hinzugefügt worden, mit allen nötigen Geschichten... Aber verändert an der Domäne selber hab ich nix...

 

Ich würd ja auch keinen Server runterfahren, wenn da bestimmte Dienste drauf laufen würden... So ist der zweite DC aber zur Zeit blos DC und DNS Server. Mehr nicht.

 

Und die Clients haben beide DNS Server eingetragen, aber den DC1 als Primary... Manche melden sich ja auch am DC1 an... Die Mehrheit, wie mir so aufgefallen ist, ist es scheinbar nicht... Kann natürlich auch sein, das ich mich da in was verenne, denn es gab vorher ja kein Problem...

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hallo,

 

Gescharaubt wurde an gar nichts...

 

Hast Du es noch einmal geprüft? Schau doch einfach einmal, ob a) die beiden DCs beide in der selben, korrekten Site in der _msdcs DNS-Zone eingetragen sind. Falls ja prüfe b) ob die Prioritäten und Gewichtungen der DNS Einträge gleich sind.

 

Ja es gib einige Sites, die Standorte... Allerdings wurde der DC der richtigen Site zugeordnet und das Subnet stimmt dahingehend auch...

 

Nur um sicher zu gehen :) : Das bedeutet, daß die Client Subnetze auch den korrekten Sites zugeordnet sind (schau einmal in den Standorten und Diensten).

 

Vorher haben sich die Clients ja auch nur am ersten angemeldet.

Ich habe das ja zwischendurch immer mal wieder gecheckt...

Es gab ja auch blos in meiner Site den einen...

 

Genau das ist doch der Punkt. ;)

 

Und die Clients haben beide DNS Server eingetragen, aber den DC1 als Primary...

 

Nur für das Verständnis möchte ich noch einmal explizit sagen, daß es grundsätzlich erst einmal keine Rolle spielt, welcher DNS Server als 1. DNS Server bei den Clients eingetragen ist. Solange die DNS Partitionen auf den DC korrekt repliziert werden, ist das "egal". Du gibst damit ja nicht an, welcher DC genutzt werden soll - Du gibst damit an, von welchem DNS Server sich die Clients zuerst versuchen sollen, die DC-Informationen zu ziehen. Welcher DC dann zurückgegeben wird, ist eine andere Sache.

 

How Domain Controllers Are Located in Windows

 

Eine kleine Korrektur noch zu meinem Beitrag gestern: Der DC, zu dem vom Client der sichere Kanal aufgebaut wurde, ist nur der bevorzugte DC bei NTLM. Für Kerberos gilt das nicht, daher auch nicht für normale Benutzeranmeldungen unter XP / 2003.

 

Hast Du denn einmal die anderen NLTEST Kommandos ausgeführt (insbesondere "NLTEST /DSGETDC:domain.tld")? Bekommst Du immer denselben DC oder verteilt sich das auf die beiden DCs?

 

Manche melden sich ja auch am DC1 an... Die Mehrheit, wie mir so aufgefallen ist, ist es scheinbar nicht... Kann natürlich auch sein, das ich mich da in was verenne, denn es gab vorher ja kein Problem...

 

Ok, also wir sollten hier schon sicher sein, daß Du auch wirklich ein Problem hast. ;)

 

Laß Dir über ein Logon Script der Benutzer einfach einmal den LOGON Server in eine Textdatei schreiben und schaue, ob es immer derselbe DC ist. Gibt sicher auch andere Varianten das heraus zu finden, aber diese ist schnell erledigt. Wenn dann nicht nur ein DC drin steht oder das Verhältnis stimmt, reden wir hier über Phantomprobleme... ;)

 

Viele Grüße

olc

Link zu diesem Kommentar
olc Veteran

olc   18

Geschrieben
Geschrieben

Hi,

 

Du kannst per SET LOGONSERVER=

eine Festlegung treffen, aber ich sehe keine Notwendigkeit.

 

Vielleicht liege ich hier falsch - aber mir wäre der Sinn der Festlegung nicht ganz klar. Was soll damit erreicht werden?

Setzt man diese Umgebungsvariable, ist die Authentifizierung des Benutzers schon erledigt. Zusätzlich dürfte man es nicht nur in einer normalen CMD festlegen, da die Festlegung der Variable sonst nur in der entsprechenden CMD gilt.

 

Außerdem ist es so, wie Du auch richtig sagtest: Das macht in dem Szenario keinen Sinn. Wenn man das schon durchführen möchte, dann sollte mit DNS Prioritäten gearbeitet werden. Aber auch dies ist bei der Fragestellung des TO sicher nicht zu empfehlen.

 

Über den Tag habe ich gesehen, das einmal mehr am DC1 angemeldet waren und dann waren es mal wieder mehr am DC2...

Aber jetzt war es ausgewogen...?

 

Also ich werde das Gefühl nicht los, daß Du kein Problem hast. ;)

DNS arbeitet standardmäßig mit Round Robin, d.h. die DCs werden "zufällig" wiedergegeben bzw. zirkulär. Von daher paßt das zu Deiner Beobachtung.

 

Außerdem hast Du immer noch nicht die Fragen oben beantwortet. Von daher stochern wir hier im Dunkeln...

 

[EDIT] Achso, noch ein Nachtrag: Wenn Du das NLTEST /DSGETDC Kommando ausführst, nutze die /force Option. Sonst wird der Cache verwendet. Hatte ich vergessen zu erwähnen... [/EDIT]

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...