Anmeldung stockt wenn entfernter DNS/DC nicht erreichbar

[nathan_se 10]

Hallo zusammen,

 

folgendes Problem / Phänomen liegt zurzeit bei uns vor:

Wenn an einem entfernten Standort der dortige DNS-Server/DC nicht erreichbar ist, ist an allen Standorten die Anmeldung an der Domäne quasi nicht möglich.

 

Zunächst mal zur Umgebung:

Hier vor Ort am Hauptstandort gibt es einen 2003 R2 DC, der auch DNS-Server ist (Der DNS ist AD-integriert). Ebenfalls hier am Standort gibt es noch einen 2000er DC, der ebenfalls DNS-Server ist.

Dann gibt es noch 3 weitere Außenstellen, an denen es jeweils auch einen 2003 R2 DC mit DNS gibt.

Zusätzlich gibt es noch eine größere Außenstelle, die über einen 2003 R2 DC mit DNS, sowie ebenfalls einen 2000er DC mit DNS verfügt. Die Außenstellen sind alle als Standorte im AD hinterlegt, auch die Server sind entsprechend zugeordnet. Als Clients kommen überall fast ausschließlich Win XP SP3 Rechner zum Einsatz.

 

Nochmal als Übersicht:

Haupstelle:

- Win2003 R2 als DC + DNS

- Win2000 als DC + DNS

Außenstelle 1:

- Win2003 R2 als DC + DNS

Außenstelle 2:

- Win2003 R2 als DC + DNS

Außenstelle 3:

- Win2003 R2 als DC + DNS

Außenstelle 4:

- Win2003 R2 als DC + DNS

- Win2000 als DC + DNS

 

Der genaue Fehler ist folgender:

Die Anmeldung an sich funktioniert, auch werden Benutzer- und Computereinstellungen geladen. Danach geht es dann allerdings nicht mehr weiter, der Benutzer hat dann nur einen blauen (oder was eben die Desktop-Hintergrundfarbe ist) Desktop mit Mauszeiger. Man kann dann per Strg-Alt-Entf den Taskmanager starten und manuell über "Neuer Task (Ausführen...)" die explorer.exe starten. Daraufhin wird der Desktop zu Ende geladen und alles funktioniert soweit. Wenn das Problem auftritt, betrifft es alle Benutzer (die eine Anmeldung versuchen).

 

Heute trat das Problem wieder einmal auf, dabei haben wir folgendes festgestellt:

In der oben erwähnten, größeren Außenstelle 4 war der dortige 2000er Server nicht verfügbar (Die Meldung besagte, dass nicht genügend virtueller Arbeitsspeicher zur Verfügung steht). Der Server antwortete zwar noch auf Pings, aber der DNS-Dienst war nicht mehr verfügbar. Wir haben daraufhin den Server aus der Ferne zunächst einmal heruntergefahren. Danach funktionierte die Anmeldung wieder normal. Dies vermutlich deswegen, weil der DNS-Dienst nun _gar nicht_ mehr verfügbar war, und somit "irgendetwas" schnell einen Time-Out erhielt und es daher weiterging, wohingegen bei dem "undefinierten" Serverzustand möglicherweise erstmal eine Antwort nach dem Motto: "Warte mal, geht gleich weiter...!" zurückkam. Nach einem erneuten Hochfahren ging es dann auch weiterhin.

 

Nun ist es so, dass der 2000er Server eh bald weg kommt. Trotzdem fragen wir uns aktuell, warum der Ausfall dieses einen Servers, der noch dazu in einer Außenstelle steht, dieses massive Anmeldeproblem in der gesamten Domäne verursachen kann. Tatsache ist, dass die Clients hier in der Hauptstelle als DNS-Server den ebenfalls hier stehenden DNS-Server eingetragen haben. Tatsache ist ebenfalls, dass sie den hier stehenden DC als Anmeldeserver verwenden (beides nochmal nachgeprüft). Clientseitig scheinen sich also - soweit wir das sehen - alle Anfragen an den richtigen, sprich lokalen DC/DNS-Server zu richten. Im Grunde kann dann eigentlich nur von dort aus eine Anfrage an den fraglichen Server gehen, die dann eben nicht, bzw. nur "halb" beantwortet wird. Die Frage ist eben, warum geht da überhaupt eine (DNS-?) Anfrage an diesen Server in der Außenstelle?

 

Wie kann man denn da nun bei der Fehlersuche weiter vorgehen? Zurzeit bin ich etwas ratlos. Wäre also für einen Tipp dankbar!

 

Falls noch Fragen offen sein sollten, werde ich diese gerne versuchen zu beantworten.

 

Vielen Dank schonmal!

Gruß,

nathan_se

[morro 10]

Hi,

 

was sagen denn die Ereignislogs auf Server/Client? Welche DNS Server haste denn jeweils auf den DCs hinterlegt? Sind Standorte eingerichtet?

 

LG

[nathan_se 10]

Hallo,

 

danke für deine Antwort. Die Ereignislogs sind im Grunde leer, bis auf folgende Meldungen:

 

Clients:

Quelle: Userenv, Event ID 1058

"Auf die Datei gpt.ini des Gruppenrichtlinienobjekts cn={...},cn=policies,cn=system,DC=...,DC=WF kann nicht zugegriffen werden..:"

 

DC am Hauptstandort:

Quelle KDC, Event ID 11:

"Es sind mehrfache Konten vom Typ DS_SERVICE_PRINCIPAL_NAME mit dem Namen host/XXX vorhanden."

(Bei dem erwähnten Host handelt es sich um unseren Exchange-Server)

 

Beides steht aber m.E. nicht im Zusammenhang mit dem Problem, zumal die Meldungen "immer" auftauchen, nicht nur zu den Problemzeitpunkten.

 

Ja, es sind für jede Außenstelle Standorte eingerichtet.

 

Die DNS-Konfiguration sieht so aus:

 

Hauptstandort:

- Win2k3-DC hat als DNS-Server:

1. sich selbst

2. den 2000er am gleichen Hauptstandort

3. den 2003er der Außenstelle 1 (ist per Richtfunk angebunden)

- Win2K-DC hat als DNS-Server:

1. den 2003er am gleichen Hauptstandort

2. sich selbst

 

Die Clients haben alle den 2003er als 1. DNS-Server eingetragen.

 

Außenstellen 1-3:

- Win2k3-DC haben als DNS-Server:

1. 2003er des Hauptstandorts

2. sich selbst

 

Clients haben alle den jeweiligen lokalen 2003er DNS als 1. DNS-Server, sowie den 2003er DNS des Hauptstandorts als 2. DNS-Server eingetragen.

 

Außenstelle 4:

- Win2k3-DC hat als DNS-Server:

1. 2003er des Hauptstandorts

2. sich selbst

-Win2k-DC hat als DNS-Server:

1. den 2003 am gleichen Standort

2. sich selbst

 

Clients haben alle den lokalen 2003er als 1. DNS-Server, sowie den lokalen 2000er als 2. DNS-Server

 

Noch als zusätzliche Info (auch wenn ich persönlich nicht glaube, dass dies relevant ist, aber man weiß ja nie...):

Auch an den Außenstellen 1-3 steht noch jeweils ein 2000er DC, diese sind allerdings kein DNS-Server (mehr). Diese sollen in kürze ebenfalls entfernt werden. Auf diesen 3 ist jeweils der lokale 2003er DNS als DNS-Server eingetragen.

 

Wir hatten zum Zeitpunkt, als das Problem auftrat auch einmal auf einem Client die Anmeldeprotokollierung per RegKey UserEnvDebugLevel hochgeschraubt, aber dort ist auch nichts auffälliges zu sehen.

 

Viele Grüße!