Netzwerkumbegung nach Sicherung des Domänencontroller unvollständig

[Pigu 10]

Hallo,

 

seit ich mit Veeam einen virtualisieren 2012R2 Domäncencontroller (Hyper-V) sichere finden sich oft morgens kaum noch Geräte in der Netzwerkumgebung. Erst nach einem Neustart aller Geräte einschließlich des DC ist die Netzwerkumgebung wieder vollständig, dieser Zustand hält dann für 1-2 Sicherungen an. Während einer Sicherung ist der DC die ganze Zeit erreichbar, http://www.veeam.com/kb1681 habe ich schon durchgearbeitet. Hat noch jemand eine Idee? Gäbe es ggf. eine Möglichkeit ohne Neustart?

 

Gruß

[ssd_rider 2]

Hast du in deinem Netzwerk noch weitere DCs oder nur diesen einen?

[Pigu 10]

nur den einen

[lefg 276]

Hallo,

 

gibte es denn ein Problem, ein wirkliches Problem? Funktioniert etwas von Bedeutung nicht? Gibt es Fehlermeldungen in der Ereignisprotokollen des Servers und der Clients?

 

Es ist anzunehmen, der Browserdienst des Servers ist Masterbrowser und führt die Browserlste. Möglicherweise wird diese während der Sicherung beeinträchtigt und braucht eine Weile bis sie wieder up to date ist.

 

Falls der Browserdienst des Servers und die Liste während der Sicherung beeinträchtigt wird, von den Browserdiensten der Clients nicht mehr wahrgenommen wird, dann beginnen die mit der Wahl eines neuen Masterbrowsers.

 

Die Browserdienste auf den Clients können deaktiviert werden, sie erzeugen nur unnötige Geschwätz.

 

Ein Neustarten des Servers und der Clients zum auf Vorderman zu bringen der Browserliste halte ich für unnötig.

bearbeitet 20. Dezember 2014 von lefg

[Pigu 10]

Hallo,

 

es scheint nicht Veeam zu sein sondern die Windows-Sicherung :mad:

 

Gruß

[lefg 276]

Moin,

 

Scheint ist doch etwas unsicher. Könnte es nicht auch etwas anderes sein? :)

 

Welche Windows Sicherung, am Server oder an den Clients?

 

Gibt es Fehlermeldungen/Warnungen in den Ereignisprotikollen?

bearbeitet 5. Januar 2015 von lefg

[Pigu 10]

Hallo,

 

das Problem tritt wieder auf, es ist nur die Veeam Sicherung aktiv. Die Windowssicherung lief auf dem DC.

 

Der computerbrowser ist deaktiviert.

 

Verdächtiges im Protokoll:

 

vmicvss ID 2:

Fehler bei VSS Writer System Writer mit dem Status 9 und dem Writer-spezifischen Fehlercode 0x800423F2.

 

 

 

 

 

ActiveDirectory_DomainService ID 2887

 

Während der vergangenen 24 Stunden haben einige Clients versucht, eine der folgenden LDAP-Bindungen vorzunehmen:

(1) Eine SASL-LDAP-Bindung (Verhandlung, Kerberos, NTLM oder Digest), die keine Signatur (Integritätsüberprüfung) anforderte, oder

(2) eine einfache LDAP-Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung).

 

Der Verzeichnisserver ist derzeit nicht zum Zurückweisen derartiger Bindungen konfiguriert. Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server zum Zurückweisen derartiger Bindungen konfigurieren. Weitere Details und Informationen zum Vornehmen dieser Konfigurationsänderung auf dem Server finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".

 

Eine Zusammenfassung der Anzahl derartiger Bindungen, die in den vergangenen 24 Stunden eingegangen sind, finden Sie unten.

 

Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren. Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.

 

Anzahl der einfachen Bindungen, die ohne SSL/TLS erfolgten: 0

Anzahl der Verhandlungs-/Kerberos-/NTLM-/Digestbindungen, die ohne Signatur erfolgten: 15

bearbeitet 17. Februar 2015 von Pigu

[NilsK 2.969]

Moin,

 

die Netzwerkumgebung war schon immer unzuverlässig. In den allermeisten Netzwerken braucht man sie auch nicht. Sie wird meist einfach ignoriert. "Fehler" dieser Liste sind keine wichtigen Fehler.

 

Dein VSS-Fehler hat damit nichts zu tun, da solltest du dich separat drum kümmern. Ich empfehle darüber hinaus dringend, das AD noch separat mit Bordmitteln zu sichern (Systemstate oder Full Backup mit Windows Server Backup, im Zweifel zusätzlich zu Veeam). Nur so hast du im Fall des Falles eine herstellerunterstützte AD-Sicherung.

 

Das Event 2887 kannst du innerhalb des LANs ignorieren. Es wäre zwar besser, nur verschlüsselte oder signierte Bindungen zuzulassen, aber innerhalb eines (kleineren) Netzwerks macht das sicherheitstechnisch "den Kohl nicht fett", weil dort meist noch ganz andere Lücken vorliegen. Sonst hast du ja einen Link dazu. Mit deinem Problem hat die Meldung aber nichts zu tun.

 

Gruß, Nils

[lefg 276]

Ich meine, man muss nicht die Geräte neu starten , es sollte reichen den Browserdienst neu zu starten auf dem DC, dieser sollte Masterbrowser sein. Die Browserdienste auf den Arbeitsstationen kann man getrost deaktivieren, diese neigen zur Schwätzerei.

bearbeitet 17. Februar 2015 von lefg

[NilsK 2.969]

Moin,

 

wenn man den Masterbrowser neu startet, stellt er die Liste neu zusammen. Das kann durchaus 30 Minuten dauern. Auch länger.

 

Mag Abhilfe schaffen, aber eben nicht sofort.

 

Gruß, Nils

[lefg 276]

 

Mag Abhilfe schaffen, aber eben nicht sofort.

 

Es ist eine Krücke.

bearbeitet 17. Februar 2015 von lefg

[Pigu 10]

Hallo, danke für eure Antworten. Ich werde heue abend den Dienst auf dem DC aktivieren und nochmal alles neustarten. Ich werde berichten.

[lefg 276]

Von der Voreinstellung ist der Dienst Computerbrowser aktiviert.

bearbeitet 18. Februar 2015 von lefg

[Pigu 10]

Das sieht soweit wieder gut aus. Die Win-Sicherung habe ich natürlich wieder aktiviert. Wenn jemand mal ein ähnliches Problem hat möchte ich noch auf http://konkretor.blog.de/2013/02/06/master-browser-wins-15505787/ verweisen.

 

Vielen Dank & Gruß

[lefg 276]

Dienste auf den Clients sind per Gruppenrichtlinie deaktivierbar, auch der Computerbrowser, dann bleibt als möglicher Masterbrowser nur der auf dem DC. Nach meiner Erfahrung ist dann alles gut. Falls es keinen DC und keine Gruppenrichtlinie gibt, die Turnschuharbeit reduzieren möchte, kann man das remote über die Computerverwaltung machen oder mit SC.an der Eingabeaufforderung oder Batch.