2K3 - Auf dem DC: Angeblich Domäne nicht mehr vorhanden

[RalphT]

Hallo,

ich denke, ich habe ein größeres Problem. Ich habe hier 2 DCs und ich musste einen DC (PDC) neu starten. Nach dem Neustart ließ sich das Snapin "Active Directory Computer" nicht mehr öffnen. Es dauerte sehr lange, dann kam eine Meldung, dass die Domäne nicht mehr verfügbar sei. Auch der DNS-Dienst läuft nicht mehr. Ein Blick in die Ereignisanzeige unter System zeigte beispielsweise diese Fehlermeldung:

Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server LDAP/SERVER-MeinDC1 festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.
(0xc000005e)".

Es kamen noch ca. 5 Fehlermeldungen hinterher. Ich nehme aber an, dass diese nur Folgemeldungen sind.

Alle Dienste waren ordnungsgemäß gestartet.

Nach ca. 10 Minuten -habe rumgeklickt und geforscht- lief der Server wieder. Alles ist jetzt wieder ok. Ein Ausführen dcdiag und netdiag brachte keine Erkenntnisse. Alles scheint jetzt wieder in Ordnung zu sein.

Was könnte das gewesen sein? Ich frage mich nur, wie lange ich Zeit habe bis zum nächsten Neustart und ob der Server sich dann immer noch automatisch wieder erholt.

[LukasB]

Poste mal ipconfig /all beider DCs.

[RalphT]

Hier die Ausgabe:

Ausgabe betroffener DC (PDC)


Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : Server-2
Primäres DNS-Suffix . . . . . . . : ABC.MEINEFIRMA.DE
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : ABC.MEINEFIRMA.DE
MEINEFIRMA.DE

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Intel(R) PRO/1000 MT Server Adapter
Physikalische Adresse . . . . . . : 00-1B-21-19-34-E1
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.14.3
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.14.1
DNS-Server . . . . . . . . . . . : 192.168.14.3

Ausgabe DC (SDC)


Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : Server-1
Primäres DNS-Suffix . . . . . . . : ABC.MEINEFIRMA.DE
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : ABC.MEINEFIRMA.DE
MEINEFIRMA.DE

Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung . . . . . . . . . . : Intel(R) PRO/1000 MT Server Adapter
Physikalische Adresse . . . . . . : 00-1B-21-24-E6-1B
DHCP aktiviert . . . . . . . . . : Nein
IP-Adresse. . . . . . . . . . . . : 192.168.14.5
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.14.1
DNS-Server . . . . . . . . . . . : 192.168.14.5
Primärer WINS-Server . . . . . . : 192.168.14.5

[LukasB]

Deine DNS-Konfiguration ist falsch. Bei zwei DCs sollte DC A jeweils DC B als primären DNS-Server haben und DC A als sekundären - bei DC B dasselbe (DC A primär, DC B sekundär).

Ausserdem: PDCs und BDCs gibt es seit NT4 nicht mehr. Seit Windows 2000 gibt es nur noch DCs.

[RalphT]

Deine DNS-Konfiguration ist falsch. Bei zwei DCs sollte DC A jeweils DC B als primären DNS-Server haben und DC A als sekundären - bei DC B dasselbe (DC A primär, DC B sekundär).

Hm, ok, das macht teilweise Sinn. Aber müsste der DC nicht eigenständig hochfahren können? Was wäre denn, wenn alle Server aus sind und ich würde jetzt erst einmal nur diesen Server hochfahren wollen. Den sekundären DNS würde er dann auch nicht finden.

[LukasB]

Zitat von RalphT Hm, ok, das macht teilweise Sinn. Aber müsste der DC nicht eigenständig hochfahren können?

Kann er ja. Es dauert einfach.

[RalphT]

Das es lange dauert habe ich schon festgestellt. Nur mir ist jetzt erst aufgefallen, nachdem ich mich angemeldet habe, dass ich die SnapIns Active Directory und DNS nicht öffnen konnte, bzw. nicht funktionierten. Ich fand das etwas seltsam und hatte kein gutes Gefühl dabei.

Noch ein Nachtrag: Habe das gerade mal ausprobiert. Der Server kommt sehr schnell hoch. Natürlich Voraussetzung, dass der andere Server läuft.

[djmaker]

Als workaround kannst Du den jeweiligen DC in der loaken Hosts-Datei einpflegen. Dann bist Du für den Systemstart nicht auf einen 2. DNS-Server angewiesen.

[IThome]

Soso ... und was ist mit den ganzen SRV-Resource Records ? Der Hostname alleine bringt da sehr wenig bis gar nichts ...

[djmaker]

Wir sprachen ja erst einmal vonDNS. Und ich habe durchaus Server erlebt bei den das die Situation verbessert hat.

Wie das nun einmal so ist, jeder sammelt eigene Erfahrungen mit ggf. unterschiedlichen Schlußfolgerungen. Nichts für ungut.

Bye