keine Anmeldung an DC möglich nach Routerwechsel

[mwiederkehr 373]

Hallo zusammen

 

Bei einem Kunden steht ein physischer Domänencontroller mit Windows Server 2012 R2, es ist der einzige DC der Domäne. Heute wurde dort der Router ausgetauscht und es gab einen geplanten Stromunterbruch, weswegen der Server heruntergefahren wurde. Nach dem Neustart konnte man sich nicht mehr anmelden, auch am Server selbst nicht mehr: "Es stehen keine Server zum Verarbeiten der Anmeldeinformationen zur Verfügung." Das Netzwerksymbol auf der Anmeldemaske zeigte ein rotes X, "keine Verbindungen verfügbar".

 

Es war nicht das IPv6-Problem (Router bietet sich als DNS-Server an und DC verwendet diesen statt sich selbst), da IPv4 per Registry präferiert wird. Also in den AD-Wiederherstellungsmodus gestartet und angemeldet. Es kam die Meldung "es steht ein neues Netzwerk zur Verfügung, wollen Sie Computer finden etc.?". Auf "Ja" geklickt. Im Ereignisprotokoll stand, dass der Server keine Domänencontroller finden könne. Als DNS-Server eingetragen ist 127.0.0.1 (und zusätzlich habe ich noch die IP-Adresse des Servers selbst eingetragen als sekundären DNS-Server).

 

Neustart in den normalen Modus, alles wieder OK. Netzwerksymbol wieder normal.

 

Kommt das jemandem bekannt vor? Kann mir fast nicht vorstellen, dass man sich nicht mehr bei Windows anmelden können soll, nur weil der Router ausgewechselt wurde. Zumal die Netzwerkkarte ja nicht auf DHCP steht. Es fällt mir "Network Location Awareness" ein, aber das sollte ja allenfalls entfernte Rechner betreffen, aber nicht die lokale Anmeldung am DC?

[NorbertFe 2.027]

Welchen Router verwendet ihr denn?

[mwiederkehr 373]

Swisscom Centro Business 2.0. Sollte aber (hoffentlich) nichts damit zu tun haben.

 

Wir hatten in letzter Zeit schon Anmeldeprobleme wegen dem Router. Nach einem Firmwareupdate hat er sich trotz gegenteiliger Einstellung über IPv6 als DNS-Server angeboten. Windows Server 2012 R2 und 2016 finden das Angebot unwiderstehlich und man kann sich dann nicht mehr anmelden, weil der DC seine eigene Domäne nicht mehr findet. IPv4 zu präferieren hat in diesen Fällen jeweils geholfen. (Der Server 2008 R2 scheint in dieser Hinsicht übrigens robuster zu sein: habe schon bei Kunden DCs gesehen, die nur einen externen  DNS-Server eingetragen hatten und man konnte sich trotzdem anmelden. Der scheint zuerst zu schauen, ob er DC ist, bevor er im DNS einen DC sucht.)

 

Folgendes habe ich gerade gefunden: anscheinend sollen gewisse Server automatisch im AD-Wiederherstellungsmodus starten: http://blog.becker.sc/2018/08/windows-domain-controller-es-sind.html Lese ich zum ersten Mal. Könnte aber schon sein, dass es etwas mit einem Update zu tun hat, denn ich habe die letzten Jahre viele Server bei mir installiert und dann beim Kunden gestartet und hatte nie ein solches Problem.

[NorbertFe 2.027]

Ist am Router ipv6 aus? Von der Telekom sind die speedports auch so doof, dass man sie dafür nicht einsetzen kann. Das dürfte bei dir auch das Problem sein, auch wenn du oben meinst es wäre was anderes.

[mwiederkehr 373]

Ja, es ist aus. Nur hat das leider keinen Effekt wegen eines Bugs in der Firmware...

 

Was könnte denn noch das Problem sein mit IPv6? Wenn ich IPv4 präferiere, sollte es dem Server doch egal sein, was irgendein Router über IPv6 verzapft?

[NorbertFe 2.027]

Das ist dem Server eben nicht egal, wie du ja gerade feststellst. :) Da hilft maximal überall IPv6 komplett deaktivieren. Kannst du ja schnell mal am Server und einem Client testen.

[testperson 1.674]

Hi,

 

evtl. wurde durch die neue MAC-Adresse vom Gateway ein neues Netzwerk "identifiziert". Solange du das nicht bestätigst, ist das AFAIK mit dem Firewall-Profil "Öffentlich" ausgestattet. Sofern es nur einen DC gibt, kann das so schonmal passieren.

 

Oder eben doch IPv6. ;)

 

Gruß

Jan

[mwiederkehr 373]

vor 13 Stunden schrieb NorbertFe:

Das ist dem Server eben nicht egal, wie du ja gerade feststellst. :) Da hilft maximal überall IPv6 komplett deaktivieren. Kannst du ja schnell mal am Server und einem Client testen.

Habe ich mich nie getraut, weil es von Microsoft heisst, es sei nicht empfohlen. Er präferiert IPv4 nicht so, wie man sich das vorstellt, wie ich gerade gesehen habe: mit "nslookup www.google.com" fragt er immer noch AAAA und A ab, nimmt dann beim ping einfach den A-Record. Das dass bei einem Memberserver Probleme verursachen kann, wenn er den falschen DNS befragt, ist klar. Aber auf dem DC steht als DNS fix "::1" drin und DNS gibt lokal über IPv6 auch Antwort.

 

vor 3 Stunden schrieb testperson:

evtl. wurde durch die neue MAC-Adresse vom Gateway ein neues Netzwerk "identifiziert". Solange du das nicht bestätigst, ist das AFAIK mit dem Firewall-Profil "Öffentlich" ausgestattet. Sofern es nur einen DC gibt, kann das so schonmal passieren.

Ja, das vermute ich auch. Nur verstehe ich nicht, weshalb das auf einem DC Probleme mit der Anmeldung geben soll. Memberserver können den DC wegen der Firewall allenfalls nicht mehr erreichen, aber am DC selbst sollte man sich ja immer anmelden können. Falls nicht, hätte jeder das Problem, der einen DC zum Kunden bringt.

 

Langsam frage ich mich, ob es nicht dieses Problem ist: http://blog.becker.sc/2018/08/windows-domain-controller-es-sind.html

 

Leider habe ich nicht ausprobiert, ob ich mich bei den Servern im Fehlerzustand mit dem AD-Recovery-Passwort hätte anmelden können. Vielleicht sind die tatsächlich in den DSRM gestartet. Allerdings habe ich noch nie gehört, dass ein Server aus einer Laune heraus die Bootkonfiguration verstellt.

[NorbertFe 2.027]

Nimm den ROuter mal ausser Betrieb. GEhts dann? Ist doch nicht so schwer. ;)

[mwiederkehr 373]

vor 57 Minuten schrieb NorbertFe:

Nimm den ROuter mal ausser Betrieb. GEhts dann?

Ist dann etwas schwierig auf den iLO zu kommen. Habe es aber gestern versucht zum dem Kunden durchzuspielen: Netzwerkkabel ausgesteckt, neu gestartet => ging auch nicht. (Und das sollte ja gehen, wenn 127.0.0.1 als DNS eingetragen ist, oder?)

 

Werde das nächste Mal dem Kunden aber sagen, er soll das Netzwerkkabel am Router abziehen, nicht am Server.

[NorbertFe 2.027]

LOL ja wenn man den DC rauszieht, wirds schwierig mit Domain-Anmeldung. ;)

[mwiederkehr 373]

vor einer Stunde schrieb NorbertFe:

LOL ja wenn man den DC rauszieht, wirds schwierig mit Domain-Anmeldung. ;)

Ja das sowieso. Es geht mir aber nur um die "lokale" Anmeldung am DC, also per Bildschirm oder iLO.

 

Tröstlich ist, dass das jetzt genau die Kunden betrifft, denen ein richtiger Router bzw. eine Firewall zu teuer waren...

[NorbertFe 2.027]

Ja "Lernen durch Schmerzen". ;)

[mwiederkehr 373]

Ganz genau. Wobei der Swisscom etwas Schmerzen auch gut täten für ihre besch..eidenen Zwangsrouter...

 

Auf jeden Fall vielen Dank für die Unterstützung!

[NorbertFe 2.027]

Darf man dort keine eigenen Router anklemmen? :o