TobiasPlanlos 0 Geschrieben 23. Januar 2013 Melden Teilen Geschrieben 23. Januar 2013 Guten Morgen zusammen! Ich habe zwei Domänen, je einen DC, die zueinander eine Vertrauensstellung haben. Eine Domäne existiert schon was länger, die zweite ist eine nötige Erweiterung für die neuen Windows 8 Clients, der DC ist ganz neu aufgesetzt. Das erstellen der Vertrauensstellung ist ohne Probleme gegangen. In der neuen Domäne hängt bisher nur ein Client, der sich ohne Problem in die Domäne heben lies, jetzt aber bei der Anmeldung eines neuen Users meint, der DC wäre nicht erreichbar. Ebenso, wenn ich auf der alten Domäne versuche einen User der neuen Domäne auf z.B. einen Ordner zu berechtigen, wird der User nicht gefunden. Und jetzt das für mich kuriose: Ping von jedem Rechner an den anderen ist OK DNS ist OK, nslookup ohne Probleme (DNS Weiterleitungen zwischen beiden DCs) Vertrauensstellungüberprüfung funktioniert auch in beide Richtungen Laut Microsoft sind alle Voraussetzungen erfüllt Warum also lässt sich der neue DC angeblich nicht erreichen? RDP, Ordnerfreigaben, etc funktioniert alles einwandfrei. Irgendjemand noch eine Idee? Habe in meiner Ratlosigkeit auch schon alle Firewalls, Virenscanner u.ä. abgeschaltet. Auch der Spruch "Reboot tut gut" fand schon den Weg in meine Hirnwindungen. Viele Grüße Tobias Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 23. Januar 2013 Melden Teilen Geschrieben 23. Januar 2013 Ich habe zwei Domänen, je einen DC, die zueinander eine Vertrauensstellung haben. Eine Domäne existiert schon was länger, die zweite ist eine nötige Erweiterung für die neuen Windows 8 Clients, der DC ist ganz neu aufgesetzt. Weshalb braucht man eine zweite Domäne für die W8 Clients? Die kannst Du in die 'alte' auch aufnehmen. In der neuen Domäne hängt bisher nur ein Client, der sich ohne Problem in die Domäne heben lies, jetzt aber bei der Anmeldung eines neuen Users meint, der DC wäre nicht erreichbar. Der Rechner 'meint' nicht, sonder gibt ordentliche Fehlermeldungen. Poste die exakten Fehlermeldungen bitte. Zeig auch ein ipconfig /all vom DC und vom Client. Ist der User in der neuen oder alten Domain angelegt? Zitieren Link zu diesem Kommentar
TobiasPlanlos 0 Geschrieben 23. Januar 2013 Autor Melden Teilen Geschrieben 23. Januar 2013 Das weiß ich, das es nicht nötig wäre; in der alten Domäne hängen noch Windows 2000 Prof mit Software die nur mit Anpassungen auf 2k3 Server läuft, daher möchte ich mit abschalten der alten Software auch den alten DC abschalten; also mache ich gleich alles frisch, hat sich in den 11 Jahren, die diese Domäne jetzt existiert auch ein bisschen was geändert. Mit "meint" meine ich die Standardantwort eines Clients, der keinen DC findet: "Es sind momentan keine Anmeldeserver (...) verfügbar". Im Eventlog steht Unter "Winlogon" der identische Text. Der User ist in der neuen Domäne angelegt. ipconfig Server (ohne Domänennamen, etc.) Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : v** Primäres DNS-Suffix . . . . . . . : b** Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : b*** Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physikalische Adresse . . . . . . : 00-0C-29-35-BA-09 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.0.0.1 Subnetzmaske . . . . . . . . . . : 255.0.0.0 Standardgateway . . . . . . . . . : 10.0.0.237 DNS-Server . . . . . . . . . . . : 10.0.0.1 10.10.1.1 ipconfig client (ohen Namen) Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : R** Primäres DNS-Suffix . . . . . . . : b** Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : b** Ethernet-Adapter LAN-Verbindung: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : 3Com EtherLink 10/100 PCI For Complete PC Management NIC (3C905C-TX) Physische Adresse . . . . . . . . : 00-0A-5E-47-33-DE DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Ethernet-Adapter Ethernet: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Fast-Ethernet-Netzwerkkarte für Realtek R TL8139/810x-Familie Physische Adresse . . . . . . . . : 00-1B-FC-F2-80-53 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::dc6:ea13:77fe:c721%12(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 10.0.0.17(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.0.0.0 Lease erhalten. . . . . . . . . . : Dienstag, 22. Januar 2013 17:04:13 Lease läuft ab. . . . . . . . . . : Mittwoch, 23. Januar 2013 20:25:22 Standardgateway . . . . . . . . . : 10.0.0.237 DHCP-Server . . . . . . . . . . . : 10.10.1.1 DHCPv6-IAID . . . . . . . . . . . : 201333756 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-18-80-31-41-00-1B-FC-F2-80-53 DNS-Server . . . . . . . . . . . : 10.0.0.1 10.10.1.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Tunneladapter Teredo Tunneling Pseudo-Interface: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : 2001:0:5ef5:73b8:4cd:2604:f5ff:ffee(Bevor zugt) Verbindungslokale IPv6-Adresse . : fe80::4cd:2604:f5ff:ffee%14(Bevorzugt) Standardgateway . . . . . . . . . : :: NetBIOS über TCP/IP . . . . . . . : Deaktiviert Tunneladapter isatap.{1768E7B5-27E2-43DD-89D7-10F4211D7720}: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2 Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 23. Januar 2013 Melden Teilen Geschrieben 23. Januar 2013 Das weiß ich, das es nicht nötig wäre; in der alten Domäne hängen noch Windows 2000 Prof mit Software die nur mit Anpassungen auf 2k3 Server läuft, daher möchte ich mit abschalten der alten Software auch den alten DC abschalten; also mache ich gleich alles frisch, hat sich in den 11 Jahren, die diese Domäne jetzt existiert auch ein bisschen was geändert. Das sind alles nur Alibis, eine richtige Begründung sehe ich darin nicht. Mit "meint" meine ich die Standardantwort eines Clients, der keinen DC findet: "Es sind momentan keine Anmeldeserver (...) verfügbar". Im Eventlog steht Unter "Winlogon" der identische Text. Der User ist in der neuen Domäne angelegt. OK, wie lange hast Du nach dem Reboot des Client vor der Anmeldung gewartet? Warte doch mal mind. 1 Minute, funktioniert es dann? Wenn ja, dann mußt Du in den Computerrichtlinien eine Einstellung aktivieren: Immer auf das Netzwerk warten. ipconfig Server (ohne Domänennamen, etc.) Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : v** Primäres DNS-Suffix . . . . . . . : b** Knotentyp . . . . . . . . . . . . : Unbekannt IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : b*** Ethernet-Adapter LAN-Verbindung: Verbindungsspezifisches DNS-Suffix: Beschreibung . . . . . . . . . . : VMware Accelerated AMD PCNet Adapter Physikalische Adresse . . . . . . : 00-0C-29-35-BA-09 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 10.0.0.1 Subnetzmaske . . . . . . . . . . : 255.0.0.0 Standardgateway . . . . . . . . . : 10.0.0.237 DNS-Server . . . . . . . . . . . : 10.0.0.1 10.10.1.1 Wer oder was ist der zweite DNS? ipconfig client (ohen Namen) Windows-IP-Konfiguration Hostname . . . . . . . . . . . . : R** Primäres DNS-Suffix . . . . . . . : b** Knotentyp . . . . . . . . . . . . : Hybrid IP-Routing aktiviert . . . . . . : Nein WINS-Proxy aktiviert . . . . . . : Nein DNS-Suffixsuchliste . . . . . . . : b** Ethernet-Adapter LAN-Verbindung: Medienstatus. . . . . . . . . . . : Medium getrennt Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : 3Com EtherLink 10/100 PCI For Complete PC Management NIC (3C905C-TX) Physische Adresse . . . . . . . . : 00-0A-5E-47-33-DE DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Ethernet-Adapter Ethernet: Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Fast-Ethernet-Netzwerkkarte für Realtek R TL8139/810x-Familie Physische Adresse . . . . . . . . : 00-1B-FC-F2-80-53 DHCP aktiviert. . . . . . . . . . : Ja Autokonfiguration aktiviert . . . : Ja Verbindungslokale IPv6-Adresse . : fe80::dc6:ea13:77fe:c721(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 10.0.0.17(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.0.0.0 Lease erhalten. . . . . . . . . . : Dienstag, 22. Januar 2013 17:04:13 Lease läuft ab. . . . . . . . . . : Mittwoch, 23. Januar 2013 20:25:22 Standardgateway . . . . . . . . . : 10.0.0.237 DHCP-Server . . . . . . . . . . . : 10.10.1.1 DHCPv6-IAID . . . . . . . . . . . : 201333756 DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-18-80-31-41-00-1B-FC-F2-80-53 DNS-Server . . . . . . . . . . . : 10.0.0.1 10.10.1.1 NetBIOS über TCP/IP . . . . . . . : Aktiviert Wer oder was ist der zweite DNS? BTW: Brauchst Du so ein großes Netz? Zitieren Link zu diesem Kommentar
TobiasPlanlos 0 Geschrieben 23. Januar 2013 Autor Melden Teilen Geschrieben 23. Januar 2013 (bearbeitet) Das sind alles nur Alibis, eine richtige Begründung sehe ich darin nicht. Ich denke nicht, das du das Netz und den DC kennst und ich werde mich da auch nicht weiter zu äußern. OK, wie lange hast Du nach dem Reboot des Client vor der Anmeldung gewartet? Warte doch mal mind. 1 Minute, funktioniert es dann? Wenn ja, dann mußt Du in den Computerrichtlinien eine Einstellung aktivieren: Immer auf das Netzwerk warten. Der Client lief über Nacht, das sollte lang genug sein. Es funktioniert auch dann nicht. Die Einstellung "immer auf Netzwerk warten" ist aktiv. Wer oder was ist der zweite DNS? Wer oder was ist der zweite DNS? Der zweite DNS ist jeweils der andere DC BTW: Brauchst Du so ein großes Netz? Das ist einer der Gründe für eine Komplett neue Domäne. auch hier, ich weiß, ich kann das auch im alten DC ändern, habe dies auch schon getan und bekomme, verm. wegen der Pfuscherei mit der alten Software, dann keine DHCP Adressen mehr. Leider weiß ich nciht genau, was damals getan wurde, der alte Admin ist nicht mehr verügbar Mir ist gerade aufgefallen, das ich mich ja doch wieder zu den Gründen einer neuen Domäne und eines neuen DCs äußere :-) Der zweite DNS ist jeweils der andere DC Das war ein Versuch, die Verbindung zwischen beiden DCs herzubekommen, hat keinen Effekt gebracht, habe ich nur nicht wieder zurückgeändert. Jetzt habe ich das gemacht, bringt auch keinen Effekt. bearbeitet 23. Januar 2013 von TobiasPlanlos Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Januar 2013 Melden Teilen Geschrieben 23. Januar 2013 (bearbeitet) Moin ich habe das Wort Ereignisanzeige in diesem Thread nicht gefunden, deshalb meine Frage, was steht in den Ereignisanzeigen an Fehlermeldungen, Warnungen, die mit dem Problem, den Problemen zusammenhäängen könnten? Wie sind eigentlich die Ergebnisse von DCDIAG auf den DCs? Falls, bitte nur die Fehlerausgaben posten! So wie ich es gelesen und begriffen, halte ich die zweite Domäne und die Vertrauensstellung nicht für sinnvoll, denn die Vorgehensweise löst doch das eigentliche, das primäre Problem doch nicht, ist kein Weg dazu. Oder? Ich hätte gern eine Beschreibung des primären Problems? bearbeitet 23. Januar 2013 von lefg Zitieren Link zu diesem Kommentar
TobiasPlanlos 0 Geschrieben 23. Januar 2013 Autor Melden Teilen Geschrieben 23. Januar 2013 Im Eventlog des Clients steht nichts, was um entferntesten auf Probleme hinweist. Das einzige, das halt drin war, ist der Warnhinweis, das kein DC verfügbar ist Im Eventlog vom DC sehe ich keine Fehler oder Warnungen, die mit DNS oder AD zu tun haben. Was ich gefunden habe, sind die Einträge, das die Vertrauensstellungsüberprüfung funktioniert hat. Ansonsten eine Warnung, das der Internetzeitserver nicht erreichbar ist, das ich eine Installation abgebrochen habe, so Sachen halt... Ich bin mir inzwischen ziemlich sicher, dass das Problem am neuen DC liegt, da er zwar erreichbar ist, aber auf AD Anfragen nicht oder nicht richtig antwortet/antworten kann. Firewall, etc. hab ich schon deaktiviert, auch die Dienste sehen für mich normal aus; es laufen auf beiden die selben Windowsdienste (der alte DC hat noch einiges an Software drauf, die auf dem neuen nicht oder noch nicht läuft) Der Windows 8 Client erkennt in den Firewalleinstellungen auch nicht, das er in einem Domänennetz ist, es ist nur die Firewall für öffentliche Netze aktiv (Wobei ich hier noch nicht dahintergekommen bin, ob das überhaupt etwas bedeutet; in einem anderen Betrieb zeigen allerdings alle Clients an, das sie sich in einem Domänennetz befinden...) Momentan bin ich kurz davor, den neuen DC einfach neu zu installieren, bisher habe ich ja noch nichts groß daran gemacht, aber ich denke, das kann ja eigentlich nicht die Lösung sein, vor allem, was tue ich, wenn ich dann den selben Fehler habe?! Naja, vielleicht hat ja noch jemand eine Idee?! Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Januar 2013 Melden Teilen Geschrieben 23. Januar 2013 (bearbeitet) Was ist aber das primäre Problem? Wozu soll die zweite Domäne gut sein? Was funktioniert an der ersten Domäne nicht? bearbeitet 23. Januar 2013 von lefg Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 23. Januar 2013 Melden Teilen Geschrieben 23. Januar 2013 Ich bin mir inzwischen ziemlich sicher, dass das Problem am neuen DC liegt, da er zwar erreichbar ist, aber auf AD Anfragen nicht oder nicht richtig antwortet/antworten kann. Firewall, etc. hab ich schon deaktiviert, auch die Dienste sehen für mich normal aus; es laufen auf beiden die selben Windowsdienste (der alte DC hat noch einiges an Software drauf, die auf dem neuen nicht oder noch nicht läuft) Der Windows 8 Client erkennt in den Firewalleinstellungen auch nicht, das er in einem Domänennetz ist, es ist nur die Firewall für öffentliche Netze aktiv (Wobei ich hier noch nicht dahintergekommen bin, ob das überhaupt etwas bedeutet; in einem anderen Betrieb zeigen allerdings alle Clients an, das sie sich in einem Domänennetz befinden...) Dann wird auch IMHO ausgehender Verkehr blockiert. Zieh das gerade, dann sollte auch der Zugriff funktionieren. Zitieren Link zu diesem Kommentar
TobiasPlanlos 0 Geschrieben 23. Januar 2013 Autor Melden Teilen Geschrieben 23. Januar 2013 (bearbeitet) @ Sunny61: was heisst IMHO??Und seit wann blockiert die Firewall den AD Verkehr, wenn sie das in anderen Unternehmen nciht tut? Die Domäne, so wie sie heute ist, hat ein Admin vor mir erstellt; der DC hat Fehler, die ich nicht erklären und nicht beheben kann (z.B. das ich die IP Range des DHCP nicht ändern kann; ein anderes Beispiel: die Verwaltungstools installieren und konfigurieren sich bei jedem Start neu). Ich müsste aufgrund einer sehr unübersichtlichen, verschachtelten Userberechtigung alle OUs löschen oder überarbeiten und die Gruppenrichtlinien dahinter auch. Da sind jede Menge Sachen eingestellt, die ich überprüfen muss. Der Domänenname an sich passt nicht mehr, die Geschäftsstelle des Unternehmens, das es auch namentlich so nicht mehr gibt, ist umgezogen. Und so kann ich das weitermachen. Was ich nicht verstehe, warum sich alle an der neuen Domäne aufhängen und nicht am eigentlichen Problem. Eine Vertrauensstellung zwischen verschiedenen Domänen ist nichts ungewöhnliches, z.b. wenn ich eine zweite Domäne eines zweiten Unternehmens mit integrieren muss, o.ä.; von Microsoft ist diese Funktion ja nicht umsonst geschaffen worden. Warum also rechtfertige ich mich für ein tun, das so wahrscheinlich des öfteren apssiert, wenn auch evtl mit anderen Gründen? Also, bitte, wenn jemand noch konstruktiv etwas zum Problem beizutragen hat, gerne. bearbeitet 23. Januar 2013 von TobiasPlanlos Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 23. Januar 2013 Melden Teilen Geschrieben 23. Januar 2013 Der Windows 8 Client erkennt in den Firewalleinstellungen auch nicht, das er in einem Domänennetz ist, es ist nur die Firewall für öffentliche Netze aktiv Wenn die FW für Öffentliche Netze aktiv ist, dann ist das IMHO ein Problem für dich. Es muss ein Domainnetzwerk ausgewählt sein. BTW: Hier kannst Du die Abkürzungen nachlesen: http://einklich.net/usenet/begriffe.htm#i Was ich nicht verstehe, warum sich alle an der neuen Domäne aufhängen und nicht am eigentlichen Problem. Sieh es doch mal von der anderen Tischseite aus. Wenn zu dir jemand kommt und schreibt, ich mache neben der alten eine neue Domain, dann fragst Du doch bestimmt auch, weshalb eine neue erstellen, die alte ist doch da. Da hier niemand neben dir sitzt und somit auch nicht weiß, aus welchen Gründen Du das neu aufziehen möchtest, werden Fragen gestellt. Hier beschäftigt man sich mit dir, nicht nur alleine mit der Frage. ;) Also, bitte, wenn jemand noch konstruktiv etwas zum Problem beizutragen hat, gerne. Aus deiner Sicht ist das so, nicht aus Sicht von anderen. Du mußt natürlich nicht auf 'nicht konstruktive' Beiträge antworten, aber der Thread ist dann recht schnell beendet. Zitieren Link zu diesem Kommentar
TobiasPlanlos 0 Geschrieben 23. Januar 2013 Autor Melden Teilen Geschrieben 23. Januar 2013 Wenn die FW für Öffentliche Netze aktiv ist, dann ist das IMHO ein Problem für dich. Es muss ein Domainnetzwerk ausgewählt sein. Das Problem hat aber nicht der Windows 8 Client, hab ich schnell getestet, wenn der selbe Client in der alten Domäne (die ich abschalten muss/werde, für welches ich meine Gründe denke ich weitgehend genug dargelegt habe) hängt, erkennt er, das er in einem Domänennetz hängt. Hänge ich ihn in ein anderes Netz ohne passende Domäne erkennt er das und stellt die Firewall auf 'öffentliches Netz". Also hat der neue DC ein Problem, das nicht Eventlog auftaucht, das nicht an der Windwos 2k3 Server Firewall, nicht am Virenscanner liegt. DCDIAG gibt keinen Fehler, alle Test stehen auf "passed" Zitieren Link zu diesem Kommentar
Sunny61 804 Geschrieben 23. Januar 2013 Melden Teilen Geschrieben 23. Januar 2013 Zeigt der DC evtl. etwas falsches an? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.