AD - Domain Controller - Clients unterschiedliche Subnetze

[LeKuchen]

Hallo zusammen,

ich hoffe, dies ist der richtige Bereich für meine Frage. Vorab: Bin kein AD-Profi.

Ich habe einen Domänen-Controller bzw. zwei (Windows 2008, neueste Updates sind eingespielt) mit Standard-Konfiguration installiert, der für Clients in anderen Subnetzen dienen soll. DNS ist auf beiden installiert. DCDiag läuft auf dem Domänencontroller fehlerlos durch.

Das Joinen von Rechnern (aus anderen Subnetzen) in die Domäne funktioniert, die Anmeldung von Domänenbenutzern danach ebenfalls. GPOs werden auf den Client durchgesetzt. Zeit wird synchronisiert. Dynamisches Update der DNS Einträge funktioniert ebenfalls.

Aber: Unter Windows 7 erhalte ich trotzdem folgende Fehlermeldungen im Eventlog beim Start des Clients.

5719 NETLOGON – Keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar... (ERROR)
129 Time-Service – Aufgrund eines Ermittlungsfehlers konnten von “NtpClient” kein Domänenpeer als Zeitquelle... (WARNING)
1014 DNS Client Events – Zeitüberschreitung bei Namensauflösung „_ldap._tcp.dc._msdcs.meine.domäne.de“...(WARNING)

Bei Windows XP erhalte ich folgende Fehlermeldung im Eventlog:

1054 USERENV - Domänencontrollername konnte nicht ermittelt werden....

Beim Joinen eines Windows 2008 Servers:
keine Fehlermeldungen in den Eventlogs!

Wie kommt es zu den Fehlern?


Die Settings im Detail:

DomänenController sind VMs unter ESX.

Domänencontroller 1
Hostname: DCTR1
Primary DNS Suffix: meine.domäne.de
Node type: Hybrid
IP Routing enabled: no
WINS Proxy enabled: no

Adapter VLAN 40:
DHCP enabled: no
Autoconfiguration enabled: Yes
IPv4: 155.55.40.17
Default gateway: 155.55.40.1
DNS Servers :155.55.40.17
155.55.40.16
NETBIOS over Tcpip: enabled

Domänencontroller 2
Hostname: DCTR2
Primary DNS Suffix: meine.domäne.de
Node type: Hybrid
IP Routing enabled: no
WINS Proxy enabled: no

Adapter VLAN 40:
DHCP enabled: no
Autoconfiguration enabled: Yes
IPv4: 155.55.40.16
Default gateway: 155.55.40.1
DNS Servers :155.55.40.17
155.55.40.16
NETBIOS over Tcpip: enabled

IPv6 ist über Registry-Eintrag auf beiden DCs disabled.

Windows 7 Client
Hostname: MeinClient
Primary DNS Suffix: meine.domäne.de
Node type: Hybrid
IP Routing enabled: no
WINS Proxy enabled: no

Adapter VLAN 218:
DHCP enabled: no
Autoconfiguration enabled: Yes
IPv4: 155.55.218.254
Default gateway: 155.55.218.1
DNS Servers :155.55.40.17
155.55.40.16
NETBIOS over Tcpip: enabled

DNS :
Forward Lookup Zone:
-AD-integrated
-Allow Updates Secure /Non-Secure
Reverse lookup Zone:
-55.155.in-addr.arpa
Forwarders:
zu ISP DNS

Subnets:
Catch-all Subnet
155.55.0.0/16

DCDiag auf Domänencontroller: All tests passed.

Firewall: Zwischen den Subnetzen ist ein Linux-Server als Firewall. Log protokolliert beim Start des Clients keine gedropten Pakete zwischen den Rechnern. Broadcasts werden wohl aber nicht über das Gateway weitergeleitet. Keine offensichtlichen Fehlermeldung außer Auflösung von WPAD wg. Block List...

Ping und Namensauflösung:
- ping -l 2048 auf Domänencontroller funktioniert.
- nslookup auf Namen des Domänencontrollers funktioniert.
- nslookup -type=srv _ldap._tcp.dc._msdcs.meine.domäne.de funktioniert.

Computer Browser Service:
Gestartet auf PDC

Mehrmals durchgeführt:
net stop/start netlogon
ipconfig /flushdns bzw /registerdns

Habe circa 396 unterschiedliche Artikel aus dem Netz durchgearbeitet - immernoch die gleichen Fehlermeldungen im Eventlog...

Hat jemand noch Tipps für mich? Bin für jeden kleinsten Hinweis dankbar!

Gruss
Tobias

[NorbertFe]

Hast du denn AD Subnetze definiert und entsprechend zugeordnet? Kann es sein, dass deine VPN/WAN Strecken icmp Pakete blocken? Die DCs müssen vom Client mit Ping erreichbar sein. (ping deindc -l 2048). Dann kann natürlich noch SlowLink Detection dazwischen funken.

Bye
Norbert

[LeKuchen]

Hallo Norbert,
erstmal: vielen Dank für Deine Tipps!

Wir haben hier eigentlich nur einen Standort, aber die Abteilungen (und z.B. Server) in unterschiedlichen Subnetzen/VLANs.
Ich hatte gedacht, durch die Definition eines Catch-all-Subnetzes (s.o.) wäre das quasi erledigt (sry, bin Amateur auf dem Gebiet)

siehe:
Tomek's DS World : One subnet to catch them all

Slow-Detection werde ich mir dann nochmal ein paar Artikel zu reinpfeifen...

Den Ping-Test hatte ich ja bereits erwähnt, dass dieser problemlos vom Client auf den DC funktionierte...

Gruss
Tobias.

[LeKuchen]

Subnet-Einstellungen habe ich entsprechend überprüft und sieht sauber aus, Reverse-Lookup-Zonen sind für die Subnetze auch vorhanden.

Slow Link Detection habe ich mal überprüft:

-Durchschnittspingzeit für ping meindc -l 2048 liegt bei 2ms (also < 500 kbps).
-Da Windows 7 ja anders den Wert ermittelt, habe ich die GPOs entsprechend definert und Slow Link Detection komplett ausgeschaltet.

Hat aber leider keinen Effekt auf die Fehlermeldungen im Eventlog.

Diverse nltest-Befehle liefern auch korrekte Angaben zurück.

Testweise mal Auto-Tuning bei dem Client disabled.

Daraufhin mal das Debugging für Netlogon aktiviert. Dort stechen mir folgende Zeilen ins Auge:
02/11 10:35:50 [SESSION] AD: NetrServerAuthenticate entered: MeinClient on account MeinClient$ (Negot: 612fffff)
02/11 10:35:50 [CRITICAL] AD: NetrServerAuthenticate: Bad password 0 for MeinClient on account MeinClient$
02/11 10:35:50 [CRITICAL] AD: NetrServerAuthenticate: Failed to authenticate MeinClient on account MeinClient$
02/11 10:35:50 [SESSION] AD: NetrServerAuthenticate entered: MeinClient on account MeinClient$ (Negot: 612fffff)
02/11 10:35:50 [CRITICAL] AD: NetrServerAuthenticate: Bad password 0 for MeinClient on account MeinClient$
02/11 10:35:50 [SESSION] AD: NetrServerAuthenticate returns Success: MeinClient on account MeinClient$ (Negot: 602fffff)
02/11 10:35:50 [SESSION] AD: NetrLogonGetDomainInfo: MeinClient 1 Entered
02/11 10:35:50 [SESSION] AD: NetrLogonGetDomainInfo: MeinClient is running NT 6.1 build 7600 (1)

02/11 10:39:58 [MAILSLOT] Received ping from DCTR1 DCTR1.meine.domäne.de (null) on <Local>
02/11 10:39:58 [CRITICAL] Ping from DCTR1 for domain DCTR1.meine.domäne.de (null) for (null) on <Local> is invalid since we don't host the named domain.
02/11 10:39:58 [CRITICAL] NetpDcGetNameIp: DCTR1.meine.domäne.de: No data returned from DnsQuery.
02/11 10:39:58 [MISC] NetpDcGetName: NetpDcGetNameIp returned 1355
02/11 10:39:58 [CRITICAL] NetpDcGetName: DCTR1.meine.domäne.de: IP and Netbios are both done.

Noch jemand einen Tipp?

Gruss
Tobias

[olc]

Hi,

die NETLOGON Einträge sind an der unteren Stelle interessant, denke ich. Wo hast Du das NETLOGON Log aktiviert? Auf dem Client oder auf dem DC / DNS Server?

Ist der DNS Server an alle Interfaces gebunden oder nur an ein bestimmtes?

Schneide doch mal ein GPUPDATE von einem Client (auf das ein 1054 USERENV Event folgen sollte nach Deinen Angaben) mittels Netzwerktrace mit. An wen wendet sich der Client, welche IP-Adressen werden von welchem Systen (nicht) zurück geliefert bzw. ist "nur" RPC nicht ansprechbar etc.?

Viele Grüße
olc


1355