TimS 11 Geschrieben 1. September 2021 Melden Teilen Geschrieben 1. September 2021 Hallo, ich bin gerade dabei mit 2 Win2019 Servern ein Active Directory für ein Institut aufzubauen. Ich habe einen DC installiert und dann die AD Dienste Rollen. Dann den zweiten DC. Jetzt ist durch einen Stromausfall der erste DC ausgefallen während ich Client-PCs in die Domain aufgenommen habe. Aufgefallen ist mir das nach dem ersten Neustart des Clients als bei der Benutzeranmeldung folgende Fehlermeldung kam: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung. Ich kann den Benutzer nicht anlegen. Ich habe dann den ersten DC wieder eingeschaltet und das Computerkonto wurde auch vom zweiten DC repliziert. Leider klappt die Anmeldung immer noch nicht. Daher die Frage ist das "normal" so oder ist irgendetwas an meinem AD nicht in Ordnung? Vielen Dank für Eure Hilfe! Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 1. September 2021 Melden Teilen Geschrieben 1. September 2021 Normal. Such mal nach "PDC Emulator" - der ist relevant bei bestimmten Aktionen. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 2. September 2021 Melden Teilen Geschrieben 2. September 2021 vor 10 Stunden schrieb TimS: Jetzt ist durch einen Stromausfall der erste DC ausgefallen während ich Client-PCs in die Domain aufgenommen habe. Erster Fehler: Kein USV am DC angeschlossen. vor 10 Stunden schrieb TimS: Ich kann den Benutzer nicht anlegen. Ich habe dann den ersten DC wieder eingeschaltet und das Computerkonto wurde auch vom zweiten DC repliziert. Leider klappt die Anmeldung immer noch nicht. Was möchtest Du genau machen? Einen neuen Benutzer im AD anlegen oder einen bestehenden Benutzer am PC anmelden? Das wurde mir aus deiner Frage nicht klar. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. September 2021 Melden Teilen Geschrieben 2. September 2021 Moin, und beachte, dass die Redundanz des AD entscheidend von der DNS-Konfiguration abhängt. Als Einstieg: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Gruß, Nils Zitieren Link zu diesem Kommentar
TimS 11 Geschrieben 2. September 2021 Autor Melden Teilen Geschrieben 2. September 2021 vor 2 Stunden schrieb NilsK: Moin, und beachte, dass die Redundanz des AD entscheidend von der DNS-Konfiguration abhängt. Als Einstieg: [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Gruß, Nils Vielen Dank für den Hinweis! Bei uns ist es leider so, das der DNS extern vom Rechenzentrum betrieben wird. Ich habe dort die SRV-Records vom Domaincontroller zugefügt. Es geht nur so oder gar nicht. Scheint auch alles zu funktionieren. vor 2 Stunden schrieb Sunny61: Erster Fehler: Kein USV am DC angeschlossen. Was möchtest Du genau machen? Einen neuen Benutzer im AD anlegen oder einen bestehenden Benutzer am PC anmelden? Das wurde mir aus deiner Frage nicht klar. Ich habe einen PC an der Domain angemeldet. Das hat funktioniert. Dann habe ich den Client neu gestartet und wollte mich mit einem Benutzer anmelden. Das hat erstmal sehr lange gedauert aber sogar das obligatorische Ändern des Passwortes hat funktioniert. Danach ging es aber nicht weiter. Als der erste DC dann wieder online war klappte es weiter nicht. Meine Frage ist also ob es generell nicht funktioniert einen Client zur Domain hinzuzufügen wenn der erste DC offline ist? Muss ich jetzt den Client aus der Domain entfernen und neu hinzufügen? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. September 2021 Melden Teilen Geschrieben 2. September 2021 Moin, vor 13 Minuten schrieb TimS: Ich habe dort die SRV-Records vom Domaincontroller zugefügt von "dem"? Oder von beiden? Die Clients müssen alle DCs finden können. Dazu müssen die DCs alle korrekt im DNS stehen. Und die Clients müssen wissen, dass sie dort nachsehen müssen. Das mit dem externen DNS hat man an Unis immer wieder. Es ist in Wirklichkeit praktisch nie nötig. Hier würde ich eine Klärung empfehlen, ob sich die DNS-Domain nicht auf die Windows-Server (also die DCs/DNS-Server) delegieren lässt. Das macht alles viel einfacher und flexibler. Falls das wirklich nicht geht, dann müssen die Einträge im BIND eben manuell gepflegt werden. Dann musst du dir jeweils Zeit für das Troubleshooting nehmen. Gruß, Nils Zitieren Link zu diesem Kommentar
TimS 11 Geschrieben 2. September 2021 Autor Melden Teilen Geschrieben 2. September 2021 vor 16 Minuten schrieb NilsK: Moin, von "dem"? Oder von beiden? Die Clients müssen alle DCs finden können. Dazu müssen die DCs alle korrekt im DNS stehen. Und die Clients müssen wissen, dass sie dort nachsehen müssen. Das mit dem externen DNS hat man an Unis immer wieder. Es ist in Wirklichkeit praktisch nie nötig. Hier würde ich eine Klärung empfehlen, ob sich die DNS-Domain nicht auf die Windows-Server (also die DCs/DNS-Server) delegieren lässt. Das macht alles viel einfacher und flexibler. Falls das wirklich nicht geht, dann müssen die Einträge im BIND eben manuell gepflegt werden. Dann musst du dir jeweils Zeit für das Troubleshooting nehmen. Gruß, Nils Die SRV-Records von beiden DCs. Funktioniert auch alles wunderbar. Passwörter, Benutzer,... wird alles synchronisiert. Das HRZ argumentiert so: wir machen das mit allen zentralen, wichtigen Diensten. Dann kann auch nix schief gehen. Eine Domain bieten sie aber nicht. Das müssen alle Institute selber machen. Ich habe alles selber rausfinden müssen wie die Domain mit externem DNS funktioniert. Aber ich möchte halt unbedingt eine Domain. Wie sollen sonst mehr als 50 PCs sinnvoll verwaltet werden? Sobald aber jetzt Fehler auftreten weiß ich erstmal nicht ob es am externen DNS liegt oder nicht... Ich dachte aber immer bei 2 DCs ist es egal wenn einer ausfällt. Gibt es eine Erklärung für mein Problem: Hinzufügen eines Clients zur Domain wenn der erste DC offline ist? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 2. September 2021 Melden Teilen Geschrieben 2. September 2021 Moin, vor 12 Minuten schrieb TimS: Gibt es eine Erklärung für mein Problem: Hinzufügen eines Clients zur Domain wenn der erste DC offline ist? gibt es bestimmt, aber über ein Forum wird das schwierig. Zumal unter den Umgebungsbedingungen. Fast immer liegt sowas an DNS. Der Klassiker: Beim Client ist nur ein DNS-Server eingetragen, und der läuft auf dem ausgefallenen DC. In deinem Fall könnte es z.B. sein, dass der DNS-Server dem Client immer nur den Eintrag des ausgefallenen DCs zurückgibt. Das ist eben eine der Stellen, wo es mit dem Troubleshooting dann schwer wird, weil die typischen Annahmen nicht zutreffen. Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 2. September 2021 Melden Teilen Geschrieben 2. September 2021 vor 29 Minuten schrieb TimS: Das HRZ argumentiert so: wir machen das mit allen zentralen, wichtigen Diensten. Tun sie ja bei Nils Argumentation auch. Sie delegieren es an deine DCs. Und wenn _diese_ DCs nicht da sind, kann das HRZ machen mit ihrer Namensauflösung was sie wollen, es wird trotzdem nix funktionieren. Ich kann Nils' Erfahrung in dem Umfeld nur bestätigen. Zitieren Link zu diesem Kommentar
TimS 11 Geschrieben 5. September 2021 Autor Melden Teilen Geschrieben 5. September 2021 (bearbeitet) Hallo, ich habe jetzt mit verschiedenen Tests das Active Directory und den DNS-Server und die Replikation überprüft. Alles fehlerfrei. Es hatte auch scheinbar gar nichts mit dem ausgfallenen DC1 zu tun. Wenn ich einen Client in die Domain aufnehme und ich dann nach einem Neustart mit einem Domain-Benutzer anmelde erscheint folgende Fehlermeldung: https://ibb.co/fX1xYYd Der Client wird in die Domain aufgenommen: Willkommen dannach https://ibb.co/SrNsnxV Fehler beim Ändern des DNS-Namens... RPC-Server nicht verfügbar und bei der Anmeldung an den Client https://ibb.co/34PQnv7 Sicherheitsdatenbank auf dem Server enthält kein Computerkonto Hat jemand eine Idee an welcher Stelle ich den Fehler suchen könnte? Vielen Dank! bearbeitet 5. September 2021 von TimS Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 5. September 2021 Melden Teilen Geschrieben 5. September 2021 (bearbeitet) Ja, das hat Dir Nils oben schon geschrieben. Sind die IPs deiner DCs beim Client als primärer und sekundärer DNS-Server eingetragen und KEIN Anderer? Am 2.9.2021 um 12:56 schrieb NilsK: Fast immer liegt sowas an DNS. Der Klassiker: Beim Client ist nur ein DNS-Server eingetragen, und der läuft auf dem ausgefallenen DC. In deinem Fall könnte es z.B. sein, dass der DNS-Server dem Client immer nur den Eintrag des ausgefallenen DCs zurückgibt. Das ist eben eine der Stellen, wo es mit dem Troubleshooting dann schwer wird, weil die typischen Annahmen nicht zutreffen. bearbeitet 5. September 2021 von MurdocX Zitieren Link zu diesem Kommentar
TimS 11 Geschrieben 6. September 2021 Autor Melden Teilen Geschrieben 6. September 2021 Am 5.9.2021 um 16:19 schrieb MurdocX: Ja, das hat Dir Nils oben schon geschrieben. Sind die IPs deiner DCs beim Client als primärer und sekundärer DNS-Server eingetragen und KEIN Anderer? Nein, die DCs sind ja gar keine DNS-Server. Ich verstehe das nicht. Wenn dcdiag KEINE Fehler meldet. Was soll diese Fehlermeldung mit dem RPC? Was ist Windows, Active Directory das man einen Fehler nicht finden kann. Verstehe ich nicht. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 6. September 2021 Melden Teilen Geschrieben 6. September 2021 vor 6 Minuten schrieb TimS: Nein, die DCs sind ja gar keine DNS-Server. Wäre aber praktischer. Denn dann würden sich solche Fragen gar nicht stellen. Das war Nils' und mein Hinweis. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 6. September 2021 Melden Teilen Geschrieben 6. September 2021 vor 4 Stunden schrieb TimS: Was ist Windows, Active Directory das man einen Fehler nicht finden kann. Verstehe ich nicht. Ganz einfach nach Best Practice bauen... Zitieren Link zu diesem Kommentar
TimS 11 Geschrieben 6. September 2021 Autor Melden Teilen Geschrieben 6. September 2021 vor 4 Stunden schrieb NorbertFe: Wäre aber praktischer. Denn dann würden sich solche Fragen gar nicht stellen. Das war Nils' und mein Hinweis. Das habe ich ja verstanden! Es geht bei uns an der Universität aber nicht. Und ich möchte trotzdem ein AD nutzen. Ich frage mich nur WARUM sich nicht herausfinden lässt WO der Fehler ist. Irgendwo müsste es doch eine Logdatei geben - wie unter Linux - wo genau drin steht was da schief läuft während der Client in die Domain aufgenommen wird??? Gerade eben schrieb Nobbyaushb: Ganz einfach nach Best Practice bauen... Und wenn das nicht geht? Es wird doch sicher grosse Netze geben wo eben der DC nicht auch der DNS-Server ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.