wirtnix 10 Geschrieben 7. Februar 2011 Melden Teilen Geschrieben 7. Februar 2011 Hallo, wurde gerade von unserem Systemhaus überrascht: Ich hatte gemeldet, daß ich mich an den Servern nicht anmelden kann, wenn der AD-Betriebsmaster gerade heruntergefahren ist; die sagten das sei normal. Nun dachte ich bisher, wenn ich mehrere AD-DCs habe, läuft die Anmeldung redundant?!?:confused: Ist das also so korrekt: Wenn mir der Betriebsmaster crasht, muß ich manuell den 2. AD-DC hochstufen? Der macht das nicht selber?:suspect: Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 7. Februar 2011 Melden Teilen Geschrieben 7. Februar 2011 Servus, wurde gerade von unserem Systemhaus überrascht: Ich hatte gemeldet, daß ich mich an den Servern nicht anmelden kann wie ist das genau gemeint? Meinst du das Anmelden lokal an der Tastatur direkt am Server oder die Authentisierung der Clients nach dem Rechnerstart? wenn der AD-Betriebsmaster gerade heruntergefahren ist; die sagten das sei normal. Nein, dass ist nicht normal. Die FSMO-Rollen haben mit der Benutzerauthentisierung nichts zu tun. Nun dachte ich bisher, wenn ich mehrere AD-DCs habe, läuft die Anmeldung redundant?!?:confused: Genau so ist es auch! Ist das also so korrekt: Wenn mir der Betriebsmaster crasht, muß ich manuell den 2. AD-DC hochstufen? Der macht das nicht selber?:suspect: Nein, dass ist nicht korrekt. Wenn der FSMO-Rolleninhaber crasht, musst du die FSMO-Rollen "gewaltsam" auf einem anderen DC übernehmen und den gecrashten DC aus den Metadaten des AD entfernen. Aber auch ohne die Rollen, können die anderen DCs die Benutzer authentisieren. Du gibst leider keine Infos bzgl. der Umgebung um die es sich handelt. Ein Kandidat bei Anmeldeproblemen ist stets das DNS. Haben die Clients ausschließlich die DCs als DNS-Server in ihren TCP/IP-Einstellungen eingetragen und nicht noch den Router? Wird die Forward Lookup Zone im DNS AD-integriert gespeichert? Erscheinen Fehler im Eventlog der DCs? Zitieren Link zu diesem Kommentar
wirtnix 10 Geschrieben 7. Februar 2011 Autor Melden Teilen Geschrieben 7. Februar 2011 ja, sorry. Es geht um die Anmeldung an den Servern direkt am Gerät die Umgebung ist komplett win2003 mit XP-Clients die DNS sind auch die DC, korrekt. Also geh ich recht in der Annahme, daß die User sich anmelden können, die Rechteverwaltung noch funktioniert, jedoch die lokale Anmeldung an den Servern solange brach liegt, bis der Backup-DC die FSMO-Rollen erhielt? dumme Frage: wie kann ich mich dann an dem Backup-DC anmelden?:suspect: Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 7. Februar 2011 Melden Teilen Geschrieben 7. Februar 2011 Moin, nein, auch mit deiner zweiten Vermutung liegst du nicht richtig. Wie Yusuf schon sagte: Zur Anmeldung werden die Betriebsmaster nicht benötigt. faq-o-matic.net AD: Betriebsmaster-Ausfall – was tun? Gruß, Nils Zitieren Link zu diesem Kommentar
wirtnix 10 Geschrieben 7. Februar 2011 Autor Melden Teilen Geschrieben 7. Februar 2011 AAh. OK dann ist das geklärt. Dann werde ich mal versuchen, das Problem einzugrenzen, warum dann die Anmeldung nicht klappt. Danke für die Hilfe.:D Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 7. Februar 2011 Melden Teilen Geschrieben 7. Februar 2011 Ich gehe davon aus, dass beide DC's einen DNS-Server installiert haben, die AD-Zonen im AD integriert sind, die DNS-Server jeweils auf den DC's "kreuzweise" in der IP-Config eingetragen sind und auf allen PC's beide DNS-Server eingetragen sind. Wenn Du nähmlich den DC mit dem DNS-Server, den der Client benutzt ausstellst, kann er den anderen DC nicht mehr auflösen.... -Zahni Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 7. Februar 2011 Melden Teilen Geschrieben 7. Februar 2011 Und dann noch dieser hier: Global Catalog Server Requirement for User and Computer Logon Zitieren Link zu diesem Kommentar
wirtnix 10 Geschrieben 7. Februar 2011 Autor Melden Teilen Geschrieben 7. Februar 2011 habs zur Sicherheit nochmal gecheckt: Alles ist genau wie von Dir beschrieben, trotzdem kann ich mich an server-x nicht mehr direkt anmelden, wenn ich den betriebsmaster-z z.B. für ein Update herunterfahre. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 7. Februar 2011 Melden Teilen Geschrieben 7. Februar 2011 Wenn das eine Testumgebung ist: Aktiviere auf dem 2. DC mal den Global Catalog und warte ein wenig, der muss erst im DNS veröffentlicht werden. Siehe auch obiger Artikel. Wenn der Server mit den Btriebsmastern down ist, melde ich an einem Client mal lokal an. Führe jetzt ein ping auf "mydomain.local" aus, wobei "mydomain.local" Deinen aktuellen FQDN meint (keinen Rechnernamen angeben) . Eventuell mehrfach wiederholen und dazwischen ein "ipconfig /flushdns" absetzen, um den lokalen DNS-Cahce zu leeren. Hier solllte irgendwann der "andere" DC antworten. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 7. Februar 2011 Melden Teilen Geschrieben 7. Februar 2011 Servus, Wenn das eine Testumgebung ist: Aktiviere auf dem 2. DC mal den Global Catalog und warte ein wenig, der muss erst im DNS veröffentlicht werden. gerade wenn es eine Testumgebung ist, wird doch der GC für das AD in einem Single Domain Forest nicht benötigt, es sei denn, es existieren mehrere Domänen innerhalb einer Gesamtstruktur in der Testumgebung. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 7. Februar 2011 Melden Teilen Geschrieben 7. Februar 2011 Sorry, habe den KB-Artikel nicht komplett gelesen. Bitte den Beitrag ignorieren ;) Ich machen dann mal Feierabend.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.