powlmowl 0 Geschrieben 16. Oktober 2020 Melden Teilen Geschrieben 16. Oktober 2020 Hallo zusammen und danke für die Aufnahme :) Habe ein schönes Problem von meinem Vorgänger geerbt und komme seit Tagen nicht weiter. TL;DR: Wenn ich den dritten DC (keine FSMO-Rollen) temporär vom Netz nehme, gibts Probleme mit Logins (langsam) und GPO-Verteilung (geht gar nicht). Hab hier eine Domäne mit einer einzelnen Site: Es gab zwei DCs (DC1 und DC2), Win Server 2008 R2. Diese sollten vom Netz. --> Es wurden zwei neue DCs in betrieb genommen (DC3 und DC4, MS Server 2019), alle FSMO-Rollen wurden von DC1 zu DC3 umgezogen (Schemamaster, Domänennamen-Master, PDC, RID-Pool-Manager, Infrastrukturmaster) --> DC2 wurde abgeschaltet, DC1 hat eine neue IP erhalten (.67) --> IPs der alten DCs wurden übernommen (DC1-->DC3, DC2-->DC4) --> Jetzt laufen DC3, DC4 und der alte DC1, der noch vom Netz soll --> alles funktioniert wie es soll, außer: Wenn ich den noch aktiven DC1 testweise temporär vom Netz trenne: (dies sollte ja gehen, DC3 und DC4 sind ja noch da) Login läuft sehr langsam, gpupdate /force auf dem Client schlägt fehlt: Zitat Ereignis-ID 1053: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben: a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller. b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert). Bisher festgestellt: -Replication Status Tool (auf DC3) meldet keine Probleme -DC1 (der abzuschaltende DC) per LdapSrvPriority Eintrag ein höheres Gewicht geben (1 statt 0): DNS-Eintrag wird sofort korrekt repliziert: --> gleiches Verhalten auf dem Client (Login läuft sehr langsam, gpupdate /force auf dem Client schlägt fehlt:) -netlogon Service auf DC1(alter DC) temporär abschalten --> gleiches Feherverhalten -ipconfig /all: --> DNS auf dem Client hat als Einträge die IP des DC3 und DC4. DC3 hat als DNS DC4 und sich selbst eingetragen (im DC4 dementsprechend andersrum) Ich hoffe das Problem wurde klar Hat jemand einen Ansatz? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 16. Oktober 2020 Melden Teilen Geschrieben 16. Oktober 2020 Hi, was findest du denn im Eventlog aller DCs unter "Anwendungs- und Dienstprotokolle" -> "Directory Service"; -> "DNS Server" und -> "DFS Replikation"? Gruß Jan Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Oktober 2020 Melden Teilen Geschrieben 16. Oktober 2020 (bearbeitet) vor einer Stunde schrieb powlmowl: DC2 wurde abgeschaltet, Ich meine, sowas sollte man nicht tun. Der zu entfernende DC sollte runtergestuft werden zum Member, wenn das gelungen, dann kann man den Member aus der Domäne nehmen und dann erst abschalten. bearbeitet 16. Oktober 2020 von lefg Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 17. Oktober 2020 Melden Teilen Geschrieben 17. Oktober 2020 Wer ist denn auf den Clients so als DNS eingetragen? (ipconfig /all) Und was sagt ein "nltest /dsgetdc:" (kein Tippfehler, der sinnlos wirkende Doppelpunkt am Ende gehört dazu...) Zitieren Link zu diesem Kommentar
powlmowl 0 Geschrieben 19. Oktober 2020 Autor Melden Teilen Geschrieben 19. Oktober 2020 (bearbeitet) Danke für die Antworten bzw. Rückfragen. Am 17.10.2020 um 23:18 schrieb daabm: Wer ist denn auf den Clients so als DNS eingetragen? (ipconfig /all) Und was sagt ein "nltest /dsgetdc:" (kein Tippfehler, der sinnlos wirkende Doppelpunkt am Ende gehört dazu...) Die Clients haben als DNS den DC3 sowie DC4 eingetragen. Es gibt keinen Eintrag, der auf den (abzuschaltenden) DC1 verweist. Als DC wird entweder DC1, DC3 oder DC4 ausgewählt (z.B. nach Neustart) Ich kann ja auch manuell wechseln: nltest /Server:<Clientname> /SC_RESET:<Domainname>\<DomainControllername> Zum testen wähle ich diesmal den DC3 (DC mit FSMO-Roles) Am 16.10.2020 um 13:22 schrieb lefg: Ich meine, sowas sollte man nicht tun. Der zu entfernende DC sollte runtergestuft werden zum Member, wenn das gelungen, dann kann man den Member aus der Domäne nehmen und dann erst abschalten. Sorry, genau das war gemeint. Es sieht aus, als wäre der DC2 herabgestuft, sauber entfernt und abgeschaltet worden. Zumindest habe ich noch keine Einträge oder Fehler entdecken können. Vom DC1 wurden wie erwähnt alle FSMO-Rollen auf den DC3 umgezogen. Das Ziel für DC1 ist ebenfalls Herabstufung, Löschung und Abschaltung. Eine Grundsatzfrage zur Bestätigung: Es sollte ja grundsätzlich möglich sein einen DC, der keine FSMO-Rollen hält, einzeln temporär vom Netz zu nehmen (=Stecker ziehen) ohne Loginfehler etc. zu erhalten, richtig? Dafür haben wir ja mehrere DCs (Ausfallsicherheit). Da es in meinem Fall nicht geht, traue ich micht nicht, einfach zu demoten. Irgendeine Abhängigkeit scheint es ja noch zu geben, diese möchte ich vorher auflösen. Test-ADDSDomainControllerUninstallation gibts ja leider noch nicht unter Server 2008 R2 Am 16.10.2020 um 12:52 schrieb testperson: Hi, was findest du denn im Eventlog aller DCs unter "Anwendungs- und Dienstprotokolle" -> "Directory Service"; -> "DNS Server" und -> "DFS Replikation"? Gruß Jan Test: -->Im Client wurde der DC3 als Domaincontroller ausgewählt (siehe cmd oben) -->Testweise den Stecker an DC1 gezogen und gpupdate /force auf einem Client ausgeführt. Event-Log im Client: Fehler 1053: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden [...] Fehler 1055: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden [...] Event-Log im DC4 und DC3 Fehler 5008The DFS Replication service failed to communicate with partner FRMPDC21 DC1 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server. Partner DNS Address: DC1.<domänenname> Optional data if available: Partner WINS Address: DC1 Partner IP Address: ....67 The service will retry the connection periodically. Additional Information: Error: 1722 (The RPC server is unavailable.) Connection ID: 717A4AB4-EE7F-41D0-9B47-D078C662169B Replication Group ID: 9605C26C-67F6-4E78-960A-347270E54B80 Event-Log im DC1: (während vom Netz getrennt) Fehler 5008 (DC3 und DC4 nicht gefunden) bearbeitet 20. Oktober 2020 von powlmowl Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. Oktober 2020 Melden Teilen Geschrieben 19. Oktober 2020 Was fällt mir ein? Der Begriff Globaler Katalog. Und der Befehl dcdiag. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 19. Oktober 2020 Melden Teilen Geschrieben 19. Oktober 2020 Auf jedem DC ist ja auch ein DNS-Server installiert und konfiguriert. Wie sieht dort die Konfiguration aus? Wohin zeigt die Weiterleitung im DNS von DC1, DC3 und DC4? Active Directory Standorte und Dienste > ist hier der DC2 noch zu finden? Hast Du im DNS DC2 manuell entfernt? Findest Du DC2 wenn Du in ADUC.MSC danach suchst? Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 19. Oktober 2020 Melden Teilen Geschrieben 19. Oktober 2020 vor 21 Minuten schrieb powlmowl: Event-Log im DC4 und DC3 Fehler 5008The DFS Replication service failed to communicate with partner FRMPDC21 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server. Partner DNS Address: DC1.<domänenname> Optional data if available: Partner WINS Address: DC1 Partner IP Address: ....67 The service will retry the connection periodically. Wer ist denn "FRMPDC21"? Was sagt folgender Befehl auf DC3 / DC4: net share | findstr -i -r "^NETLOGON ^SYSVOL" Ist auf DC3/DC4 der Inhalt vorhanden / aktuell: C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\scripts C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\Policies Zitieren Link zu diesem Kommentar
powlmowl 0 Geschrieben 20. Oktober 2020 Autor Melden Teilen Geschrieben 20. Oktober 2020 (bearbeitet) Danke für eure Antworten bzw. Rückfragen. vor 21 Stunden schrieb lefg: Was fällt mir ein? Der Begriff Globaler Katalog. Und der Befehl dcdiag. Alle 3 DCs sind Globaler Katalog. dcdiag auf DC3 und DC4 ausgeführt: Alle Tests "passed" außer: Starting test: DFSREvent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. Dies liegt vmtl an den Fehlerevents aus meinem Test von gestern Abend (DC1 Stecker gezogen + gpupdate /force auf dem Client; siehe letzter Post). vor 21 Stunden schrieb Sunny61: Auf jedem DC ist ja auch ein DNS-Server installiert und konfiguriert. Wie sieht dort die Konfiguration aus? Wohin zeigt die Weiterleitung im DNS von DC1, DC3 und DC4? Active Directory Standorte und Dienste > ist hier der DC2 noch zu finden? Hast Du im DNS DC2 manuell entfernt? Findest Du DC2 wenn Du in ADUC.MSC danach suchst? Im DNS-Manager unter GlobalNames, Forward Lookup Zones/<domainname>/_tcp usw. befinden sich nur Einträge für DC3, DC4 und DC1 (der zu entfernende DC). Keine Einträge zu DC2 (meines Wissens wurde er bereits von meinem Vorgänger herabgestuft und aus dem AD genommen). über ipconfig/all: DC3 hat als DNS-Server den DC4 und sich selbst. DC4 hat als DNS-Server den DC3 und sich selbst. DC1 hat als DNS-Server den DC3 und DC4. Active Directory Users and Computers: Tatsächlich ist noch ein Eintrag für DC2 in einer OU zu finden, unter "Domain Controllers" sind aber nur DC3, DC4, DC1 (der zu entfernende DC). Auch unter "AD Sites and Services" sind nur DC3, DC4, DC1 eingetragen. vor 21 Stunden schrieb testperson: Wer ist denn "FRMPDC21"? Was sagt folgender Befehl auf DC3 / DC4: net share | findstr -i -r "^NETLOGON ^SYSVOL" Ist auf DC3/DC4 der Inhalt vorhanden / aktuell: C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\scripts C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\Policies - Entschuldige, das ist der Originalname von DC1, in diesem Thread habe ich die DC-Namen vereinfacht. - Ergebis auf DC3 und DC4: NETLOGON C:\Windows\SYSVOL\sysvol\<domainname>\SCRIPTS SYSVOL C:\Windows\SYSVOL\sysvol Logon server share Ja, das ist alles vorhanden, Änderungen werden umgehend repliziert. bearbeitet 20. Oktober 2020 von powlmowl Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 20. Oktober 2020 Melden Teilen Geschrieben 20. Oktober 2020 vor 35 Minuten schrieb powlmowl: Im DNS-Manager unter GlobalNames, Forward Lookup Zones/<domainname>/_tcp usw. befinden sich nur Einträge für DC3, DC4 und DC1 (der zu entfernende DC). nd was findest Du in der Weiterleitung? In der DNS-Konsole Rechtsklick auf den Servernamen (alle DCs manuell überprüfen) > Eigenschaften > Weiterleitungen. Zitieren Link zu diesem Kommentar
powlmowl 0 Geschrieben 20. Oktober 2020 Autor Melden Teilen Geschrieben 20. Oktober 2020 vor 21 Minuten schrieb Sunny61: nd was findest Du in der Weiterleitung? In der DNS-Konsole Rechtsklick auf den Servernamen (alle DCs manuell überprüfen) > Eigenschaften > Weiterleitungen. Habe mal einen Screenshot gemacht; hoffe es ist was du meinst. Die Einträge zeigen auf unsere internen Nameserver und sind im DC3, DC4 identisch; im (zu entfernenden) DC1 gibt es nur den Eintrag mit 193.197.132.23. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 20. Oktober 2020 Melden Teilen Geschrieben 20. Oktober 2020 Das meinte ich, ok, da steht dann auch nichts drin. Wir der DC als DNS-Server per GPO vorgeben? Such mal in den GPOs danach. Zitieren Link zu diesem Kommentar
powlmowl 0 Geschrieben 21. Oktober 2020 Autor Melden Teilen Geschrieben 21. Oktober 2020 vor 20 Stunden schrieb Sunny61: Das meinte ich, ok, da steht dann auch nichts drin. Wir der DC als DNS-Server per GPO vorgeben? Such mal in den GPOs danach. Hierzu gibts ist keine GPO hinterlegt. Die Clients erhalten die DNS-Server-IPs per DHCP. (Und sie sind auch korrekt gesetzt, DC3 und DC4 werden eingetragen). Sorry, muss meine Grundsatzfrage nochmal stellen: Im Normalfall sollte doch jeder der 3 DCs hier (temporär) ausfallen bzw. vom Netz getrennt werden können, richtig? Vor allem bei einem nicht-Master-DC. Da es nicht geht, bzw. es Fehler erzeugt, zögere ich, den DC1 einfach runterzustufen und zu entfernen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 21. Oktober 2020 Melden Teilen Geschrieben 21. Oktober 2020 (bearbeitet) Einer meiner Hauptverdächtigen ist erstmal immer der DNS, sind es die DNS. Deshalb möchte ich danach fragen: Als was sind die DNS konfiguriert? In Windows Domänen wird/werden üblicherweise AD-integrierter DNS verwendet. Ist das so, sind es AD-integrierte DNS? Oder nicht? bearbeitet 21. Oktober 2020 von lefg Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 22. Oktober 2020 Melden Teilen Geschrieben 22. Oktober 2020 Vielleicht hilft das für das Lokalisieren des Problems: https://blogs.msmvps.com/acefekay/category/dc-locator-process/ Und ja, wenn kein DC gefunden wird, ist es eigentlich immer ein DNS-Problem. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.