Globaler Katalog kann nicht erreicht werden

[FranzPeter 10]

Hallo,

 

ich habe ein Problem mit einem DC2012 (inkl. DNS, DHCP)

 

ich habe schon viel gesucht aber leider nichts brauchbares gefunden.

AKtuell habe ich das Problem das mir im Dashboard der Fehler 1655 - "AD-Domändendienste haben versucht, mit dem folgenden globalen Katalog zu kommunizieren. Die Versuche waren nicht erfolgreich" und  1126 -" Keine Verbindung zum globalen Katalog" angezeigt werden und ich weiß leider nicht wie ich es lösen kann das es nicht mehr angezeigt wird.

.

Zur Info, der Globale Katalog ist auf dem DC aktiviert.

 

Hat jemand vielleicht auch diese Problem gehabt?

 

Vielen Dank für Eure Hilfe

bearbeitet 27. April 2015 von FranzPeter

[Reingucker 3]

Steht der gc im DNS?

[FranzPeter 10]

Hi, ja ich habe es wie folgt kontrolliert.

 

So überprüfen Sie die DNS-Registrierungen für den globalen Katalog

1. Starten Sie den globalen Katalogserver neu, für den die DNS-Registrierungen überprüft werden sollen.

2. Öffnen Sie den DNS-Manager. Klicken Sie zum Öffnen des DNS-Managers auf Start, klicken Sie auf Verwaltung, und klicken Sie dann auf DNS.

   Um den DNS-Manager unter zu öffnen, dns.msc.

3. Zum Herstellen einer Verbindung mit einem Domänencontroller in der Gesamtstruktur-Stammdomäne, für den die DNS-Registrierungen überprüft werden sollen, klicken Sie mit der rechten Maustaste auf DNS, und klicken Sie dann auf Verbindung mit DNS-Server herstellen.

4. Klicken Sie in der Konsolenstruktur auf den Container _tcp für die Gesamtstruktur-Stammdomäne.

   Position

   • DNS\DNS-Server\Forward-Lookupzonen\Gesamtstruktur-Stammdomäne\
      

5. Suchen Sie im Detailbereich in der Spalte Name nach _gc, und suchen Sie in der Spalte Daten nach dem Namen des Servers. Mit _gc beginnende Einträge sind Dienstidentifizierungs-Ressourceneinträge (SRV) im globalen Katalog.

Quelle: https://technet.microsoft.com/de-de/library/cc753187.aspx

[Reingucker 3]

Und das Häkchen für gc in den Eigenschaften der NTDS-Settings deines DC ist gesetzt?

 

Was ergibt "nltest /server:serverName /dsgetdc:domainName /gc /force" ?

[FranzPeter 10]

Hi, danke für deine schnelle Antwort.

 

das Häkchen ist gesetzt.

 

einen nltest habe ich schon durchgeführt sah alles gut aus, deine Abfrage werde ich aber nachher nochmals machen.

 

Ich Frage einfach schonmal, was kann ich machen, wenn ich ne Fehlermeldung bekomme?

 

Viele Grüße

Franz

[Reingucker 3]

In der Powershell mit "get-Service netlogon" schauen ob der Anmeldedienst überhaupt läuft.

 

 

Edit:

 

Es kann auch sein dass auf der Nic ein falscher DNS eingetragen ist, eventuell der vom ISP und der weiß natürlich nichts von deinem GC ect.. Oder dass im DNS der Hosteintrag für deinen DC "abhanden" gekommen ist.

 

Mehr fällt mir dazu im Moment nicht ein.

bearbeitet 28. April 2015 von Reingucker

[FranzPeter 10]

Hallo, ok ich prüfe das gleich auch mal..

 

Was ich noch sagen kann, der Server wurde komplett neu hochzogen und wurde als zweiter DC eingebunden gesynct, rollen verschoben und anschließend der alte dc außer betrieb genommen (also dcpromo-löschung durchgeführt)..

bearbeitet 28. April 2015 von FranzPeter

[Reingucker 3]

Tja, wenn du da nicht schon nachgeschaut hättest würde ich jetzt drauf tippen dass da im DNS noch der alte DC als GC drin steht. Steht da in den Fehlermeldungen nicht noch dabei auf welchem Server das AD den GC gesucht hat? In der 1655 vielleicht?

[FranzPeter 10]

Hallo,

ich habe den nltest durchgeführt, die Ausgabe sieht gut aus. keine komischen DInge

der Anmeldedienst läuft auch.

 

 

Tja, wenn du da nicht schon nachgeschaut hättest würde ich jetzt drauf tippen dass da im DNS noch der alte DC als GC drin steht. Steht da in den Fehlermeldungen nicht noch dabei auf welchem Server das AD den GC gesucht hat? In der 1655 vielleicht?

der gesucht Server stimmt auch, sprich es ist der jetzige

Mal eine blöde Frage, ist es richtig, das die Domänen-GUID (abgefragt mit nltest /..) anders ist als die im DNS in der Forward Zone im Alias CNAME ?

 

Da bin ich mir gerade nicht sicher...

[Reingucker 3]

Die aus nltest muss mit der unter _msdcs/Domain übereinstimmen (und macht sie auch sicher).

 

Welchen Guid meinst du denn da bei Alias? Steh da grad aufm Schlauch.

 

Edit:

 

Ach so, du meinst die GUID vom Server selbst. Bzw. es ist die GUID vom Alias vom Server. Ja, die ist natürlich anders.

-------------------

Ich hab mir das mal in meinem AD angeschaut. Die "Alias-GUID" sollte die gleiche sein wie sie beim DC unter ntds-Settings eingetragen ist. Wäre also auch eine mögliche Fehlerquelle.

----

 

Hm, man könnte auch mal "DCdiag /test:dns /v" machen. Und dann auch noch "DCdiag /test:services /v"  und "DCdiag /test:KnowsOfRoleHolders /v"

 

Wenn da dann alles ok ist, dann weiß ich auch nichts mehr.

bearbeitet 28. April 2015 von Reingucker

[daabm 1.348]

ldp.exe - geht ein Connect auf den Server, Port 3268?

[Reingucker 3]

ldp.exe - geht ein Connect auf den Server, Port 3268?

 

Gute Idee. Dachte ich auch kurz mal dran wegen Firewall. Habs aber dann wieder verworfen weil er ja nur einen DC hat. Aber ich weiß allerdings nicht wie ein einzelner DC im AD auf den Port zugreift: Über die Nic-IP oder über localhost. Also testen! (man hab ich Lücken, das schmerzt ja schon).

[ml-kuen 0]

Hallo FranzPeter,

 

starte mal den NLA-Dienst und DNS neu, oder deaktiviere und aktiviere die Netzwerkkarte. Ich habe gelernt, dass Server 2012 in kleinen Umgebungen dieses Problem hat.

 

Gruß

Michael L.

bearbeitet 28. April 2015 von ml-kuen