Jump to content

Netzwerkumbegung nach Sicherung des Domänencontroller unvollständig


Pigu
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

seit ich mit Veeam einen virtualisieren 2012R2 Domäncencontroller (Hyper-V) sichere finden sich oft morgens kaum noch Geräte in der Netzwerkumgebung. Erst nach einem Neustart aller Geräte einschließlich des DC ist die Netzwerkumgebung wieder vollständig, dieser Zustand hält dann für 1-2 Sicherungen an. Während einer Sicherung ist der DC die ganze Zeit erreichbar, http://www.veeam.com/kb1681 habe ich schon durchgearbeitet. Hat noch jemand eine Idee? Gäbe es ggf. eine Möglichkeit ohne Neustart?

 

Gruß

Link zu diesem Kommentar

Hallo,

 

gibte es denn ein Problem, ein wirkliches Problem? Funktioniert etwas von Bedeutung nicht? Gibt es Fehlermeldungen in der Ereignisprotokollen des Servers und der Clients?

 

Es ist anzunehmen, der Browserdienst des Servers ist Masterbrowser und führt die Browserlste. Möglicherweise wird diese während der Sicherung beeinträchtigt und braucht eine Weile bis sie wieder up to date ist.

 

Falls der Browserdienst des Servers und die Liste während der Sicherung beeinträchtigt wird, von den Browserdiensten der Clients nicht mehr wahrgenommen wird, dann beginnen die mit der Wahl eines neuen Masterbrowsers.

 

Die Browserdienste auf den Clients können deaktiviert werden, sie erzeugen nur unnötige Geschwätz.

 

Ein Neustarten des Servers und der Clients zum auf Vorderman zu bringen der Browserliste halte ich für unnötig.

bearbeitet von lefg
Link zu diesem Kommentar
  • 3 Wochen später...
  • 1 Monat später...

Hallo,

 

das Problem tritt wieder auf, es ist nur die Veeam Sicherung aktiv. Die Windowssicherung lief auf dem DC.

 

Der computerbrowser ist deaktiviert.

 

Verdächtiges im Protokoll:

 

vmicvss ID 2:

Fehler bei VSS Writer System Writer mit dem Status 9 und dem Writer-spezifischen Fehlercode 0x800423F2.

 

 

 

 

 

ActiveDirectory_DomainService ID 2887

 

Während der vergangenen 24 Stunden haben einige Clients versucht, eine der folgenden LDAP-Bindungen vorzunehmen:

(1) Eine SASL-LDAP-Bindung (Verhandlung, Kerberos, NTLM oder Digest), die keine Signatur (Integritätsüberprüfung) anforderte, oder

(2) eine einfache LDAP-Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung).

 

Der Verzeichnisserver ist derzeit nicht zum Zurückweisen derartiger Bindungen konfiguriert. Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server zum Zurückweisen derartiger Bindungen konfigurieren. Weitere Details und Informationen zum Vornehmen dieser Konfigurationsänderung auf dem Server finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".

 

Eine Zusammenfassung der Anzahl derartiger Bindungen, die in den vergangenen 24 Stunden eingegangen sind, finden Sie unten.

 

Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren. Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.

 

Anzahl der einfachen Bindungen, die ohne SSL/TLS erfolgten: 0

Anzahl der Verhandlungs-/Kerberos-/NTLM-/Digestbindungen, die ohne Signatur erfolgten: 15

bearbeitet von Pigu
Link zu diesem Kommentar

Moin,

 

die Netzwerkumgebung war schon immer unzuverlässig. In den allermeisten Netzwerken braucht man sie auch nicht. Sie wird meist einfach ignoriert. "Fehler" dieser Liste sind keine wichtigen Fehler.

 

Dein VSS-Fehler hat damit nichts zu tun, da solltest du dich separat drum kümmern. Ich empfehle darüber hinaus dringend, das AD noch separat mit Bordmitteln zu sichern (Systemstate oder Full Backup mit Windows Server Backup, im Zweifel zusätzlich zu Veeam). Nur so hast du im Fall des Falles eine herstellerunterstützte AD-Sicherung.

 

Das Event 2887 kannst du innerhalb des LANs ignorieren. Es wäre zwar besser, nur verschlüsselte oder signierte Bindungen zuzulassen, aber innerhalb eines (kleineren) Netzwerks macht das sicherheitstechnisch "den Kohl nicht fett", weil dort meist noch ganz andere Lücken vorliegen. Sonst hast du ja einen Link dazu. Mit deinem Problem hat die Meldung aber nichts zu tun.

 

Gruß, Nils

Link zu diesem Kommentar

Dienste auf den Clients sind per Gruppenrichtlinie deaktivierbar, auch der Computerbrowser, dann bleibt als möglicher Masterbrowser nur der auf dem DC. Nach meiner Erfahrung ist dann alles gut. Falls es keinen DC und keine Gruppenrichtlinie gibt, die Turnschuharbeit reduzieren möchte, kann man das remote über die Computerverwaltung machen oder mit SC.an der Eingabeaufforderung oder Batch.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...