LeKuchen 10 Geschrieben 10. Februar 2010 Melden Teilen Geschrieben 10. Februar 2010 Hallo zusammen, ich hoffe, dies ist der richtige Bereich für meine Frage. Vorab: Bin kein AD-Profi. Ich habe einen Domänen-Controller bzw. zwei (Windows 2008, neueste Updates sind eingespielt) mit Standard-Konfiguration installiert, der für Clients in anderen Subnetzen dienen soll. DNS ist auf beiden installiert. DCDiag läuft auf dem Domänencontroller fehlerlos durch. Das Joinen von Rechnern (aus anderen Subnetzen) in die Domäne funktioniert, die Anmeldung von Domänenbenutzern danach ebenfalls. GPOs werden auf den Client durchgesetzt. Zeit wird synchronisiert. Dynamisches Update der DNS Einträge funktioniert ebenfalls. Aber: Unter Windows 7 erhalte ich trotzdem folgende Fehlermeldungen im Eventlog beim Start des Clients. 5719 NETLOGON – Keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar... (ERROR) 129 Time-Service – Aufgrund eines Ermittlungsfehlers konnten von “NtpClient” kein Domänenpeer als Zeitquelle... (WARNING) 1014 DNS Client Events – Zeitüberschreitung bei Namensauflösung „_ldap._tcp.dc._msdcs.meine.domäne.de“...(WARNING) Bei Windows XP erhalte ich folgende Fehlermeldung im Eventlog: 1054 USERENV - Domänencontrollername konnte nicht ermittelt werden.... Beim Joinen eines Windows 2008 Servers: keine Fehlermeldungen in den Eventlogs! Wie kommt es zu den Fehlern? Die Settings im Detail: DomänenController sind VMs unter ESX. Domänencontroller 1 Hostname: DCTR1 Primary DNS Suffix: meine.domäne.de Node type: Hybrid IP Routing enabled: no WINS Proxy enabled: no Adapter VLAN 40: DHCP enabled: no Autoconfiguration enabled: Yes IPv4: 155.55.40.17 Default gateway: 155.55.40.1 DNS Servers :155.55.40.17 155.55.40.16 NETBIOS over Tcpip: enabled Domänencontroller 2 Hostname: DCTR2 Primary DNS Suffix: meine.domäne.de Node type: Hybrid IP Routing enabled: no WINS Proxy enabled: no Adapter VLAN 40: DHCP enabled: no Autoconfiguration enabled: Yes IPv4: 155.55.40.16 Default gateway: 155.55.40.1 DNS Servers :155.55.40.17 155.55.40.16 NETBIOS over Tcpip: enabled IPv6 ist über Registry-Eintrag auf beiden DCs disabled. Windows 7 Client Hostname: MeinClient Primary DNS Suffix: meine.domäne.de Node type: Hybrid IP Routing enabled: no WINS Proxy enabled: no Adapter VLAN 218: DHCP enabled: no Autoconfiguration enabled: Yes IPv4: 155.55.218.254 Default gateway: 155.55.218.1 DNS Servers :155.55.40.17 155.55.40.16 NETBIOS over Tcpip: enabled DNS : Forward Lookup Zone: -AD-integrated -Allow Updates Secure /Non-Secure Reverse lookup Zone: -55.155.in-addr.arpa Forwarders: zu ISP DNS Subnets: Catch-all Subnet 155.55.0.0/16 DCDiag auf Domänencontroller: All tests passed. Firewall: Zwischen den Subnetzen ist ein Linux-Server als Firewall. Log protokolliert beim Start des Clients keine gedropten Pakete zwischen den Rechnern. Broadcasts werden wohl aber nicht über das Gateway weitergeleitet. Keine offensichtlichen Fehlermeldung außer Auflösung von WPAD wg. Block List... Ping und Namensauflösung: - ping -l 2048 auf Domänencontroller funktioniert. - nslookup auf Namen des Domänencontrollers funktioniert. - nslookup -type=srv _ldap._tcp.dc._msdcs.meine.domäne.de funktioniert. Computer Browser Service: Gestartet auf PDC Mehrmals durchgeführt: net stop/start netlogon ipconfig /flushdns bzw /registerdns Habe circa 396 unterschiedliche Artikel aus dem Netz durchgearbeitet - immernoch die gleichen Fehlermeldungen im Eventlog... Hat jemand noch Tipps für mich? Bin für jeden kleinsten Hinweis dankbar! Gruss Tobias Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 10. Februar 2010 Melden Teilen Geschrieben 10. Februar 2010 Hast du denn AD Subnetze definiert und entsprechend zugeordnet? Kann es sein, dass deine VPN/WAN Strecken icmp Pakete blocken? Die DCs müssen vom Client mit Ping erreichbar sein. (ping deindc -l 2048). Dann kann natürlich noch SlowLink Detection dazwischen funken. Bye Norbert Zitieren Link zu diesem Kommentar
LeKuchen 10 Geschrieben 10. Februar 2010 Autor Melden Teilen Geschrieben 10. Februar 2010 Hallo Norbert, erstmal: vielen Dank für Deine Tipps! Wir haben hier eigentlich nur einen Standort, aber die Abteilungen (und z.B. Server) in unterschiedlichen Subnetzen/VLANs. Ich hatte gedacht, durch die Definition eines Catch-all-Subnetzes (s.o.) wäre das quasi erledigt (sry, bin Amateur auf dem Gebiet) siehe: Tomek's DS World : One subnet to catch them all Slow-Detection werde ich mir dann nochmal ein paar Artikel zu reinpfeifen... Den Ping-Test hatte ich ja bereits erwähnt, dass dieser problemlos vom Client auf den DC funktionierte... Gruss Tobias. Zitieren Link zu diesem Kommentar
LeKuchen 10 Geschrieben 11. Februar 2010 Autor Melden Teilen Geschrieben 11. Februar 2010 Subnet-Einstellungen habe ich entsprechend überprüft und sieht sauber aus, Reverse-Lookup-Zonen sind für die Subnetze auch vorhanden. Slow Link Detection habe ich mal überprüft: -Durchschnittspingzeit für ping meindc -l 2048 liegt bei 2ms (also < 500 kbps). -Da Windows 7 ja anders den Wert ermittelt, habe ich die GPOs entsprechend definert und Slow Link Detection komplett ausgeschaltet. Hat aber leider keinen Effekt auf die Fehlermeldungen im Eventlog. Diverse nltest-Befehle liefern auch korrekte Angaben zurück. Testweise mal Auto-Tuning bei dem Client disabled. Daraufhin mal das Debugging für Netlogon aktiviert. Dort stechen mir folgende Zeilen ins Auge: 02/11 10:35:50 [sESSION] AD: NetrServerAuthenticate entered: MeinClient on account MeinClient$ (Negot: 612fffff) 02/11 10:35:50 [CRITICAL] AD: NetrServerAuthenticate: Bad password 0 for MeinClient on account MeinClient$ 02/11 10:35:50 [CRITICAL] AD: NetrServerAuthenticate: Failed to authenticate MeinClient on account MeinClient$ 02/11 10:35:50 [sESSION] AD: NetrServerAuthenticate entered: MeinClient on account MeinClient$ (Negot: 612fffff) 02/11 10:35:50 [CRITICAL] AD: NetrServerAuthenticate: Bad password 0 for MeinClient on account MeinClient$ 02/11 10:35:50 [sESSION] AD: NetrServerAuthenticate returns Success: MeinClient on account MeinClient$ (Negot: 602fffff) 02/11 10:35:50 [sESSION] AD: NetrLogonGetDomainInfo: MeinClient 1 Entered 02/11 10:35:50 [sESSION] AD: NetrLogonGetDomainInfo: MeinClient is running NT 6.1 build 7600 (1) 02/11 10:39:58 [MAILSLOT] Received ping from DCTR1 DCTR1.meine.domäne.de (null) on <Local> 02/11 10:39:58 [CRITICAL] Ping from DCTR1 for domain DCTR1.meine.domäne.de (null) for (null) on <Local> is invalid since we don't host the named domain. 02/11 10:39:58 [CRITICAL] NetpDcGetNameIp: DCTR1.meine.domäne.de: No data returned from DnsQuery. 02/11 10:39:58 [MISC] NetpDcGetName: NetpDcGetNameIp returned 1355 02/11 10:39:58 [CRITICAL] NetpDcGetName: DCTR1.meine.domäne.de: IP and Netbios are both done. Noch jemand einen Tipp? Gruss Tobias Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 11. Februar 2010 Melden Teilen Geschrieben 11. Februar 2010 Hi, die NETLOGON Einträge sind an der unteren Stelle interessant, denke ich. Wo hast Du das NETLOGON Log aktiviert? Auf dem Client oder auf dem DC / DNS Server? Ist der DNS Server an alle Interfaces gebunden oder nur an ein bestimmtes? Schneide doch mal ein GPUPDATE von einem Client (auf das ein 1054 USERENV Event folgen sollte nach Deinen Angaben) mittels Netzwerktrace mit. An wen wendet sich der Client, welche IP-Adressen werden von welchem Systen (nicht) zurück geliefert bzw. ist "nur" RPC nicht ansprechbar etc.? Viele Grüße olc 1355 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.