Jump to content
Sign in to follow this  
Pigu

Netzwerkumbegung nach Sicherung des Domänencontroller unvollständig

Recommended Posts

Hallo,

 

seit ich mit Veeam einen virtualisieren 2012R2 Domäncencontroller (Hyper-V) sichere finden sich oft morgens kaum noch Geräte in der Netzwerkumgebung. Erst nach einem Neustart aller Geräte einschließlich des DC ist die Netzwerkumgebung wieder vollständig, dieser Zustand hält dann für 1-2 Sicherungen an. Während einer Sicherung ist der DC die ganze Zeit erreichbar, http://www.veeam.com/kb1681 habe ich schon durchgearbeitet. Hat noch jemand eine Idee? Gäbe es ggf. eine Möglichkeit ohne Neustart?

 

Gruß

Share this post


Link to post
Share on other sites

Hallo,

 

gibte es denn ein Problem, ein wirkliches Problem? Funktioniert etwas von Bedeutung nicht? Gibt es Fehlermeldungen in der Ereignisprotokollen des Servers und der Clients?

 

Es ist anzunehmen, der Browserdienst des Servers ist Masterbrowser und führt die Browserlste. Möglicherweise wird diese während der Sicherung beeinträchtigt und braucht eine Weile bis sie wieder up to date ist.

 

Falls der Browserdienst des Servers und die Liste während der Sicherung beeinträchtigt wird, von den Browserdiensten der Clients nicht mehr wahrgenommen wird, dann beginnen die mit der Wahl eines neuen Masterbrowsers.

 

Die Browserdienste auf den Clients können deaktiviert werden, sie erzeugen nur unnötige Geschwätz.

 

Ein Neustarten des Servers und der Clients zum auf Vorderman zu bringen der Browserliste halte ich für unnötig.

Edited by lefg

Share this post


Link to post
Share on other sites

Moin,

 

Scheint ist doch etwas unsicher. Könnte es nicht auch etwas anderes sein? :)

 

Welche Windows Sicherung, am Server oder an den Clients?

 

Gibt es Fehlermeldungen/Warnungen in den Ereignisprotikollen?

Edited by lefg

Share this post


Link to post
Share on other sites

Hallo,

 

das Problem tritt wieder auf, es ist nur die Veeam Sicherung aktiv. Die Windowssicherung lief auf dem DC.

 

Der computerbrowser ist deaktiviert.

 

Verdächtiges im Protokoll:

 

vmicvss ID 2:

Fehler bei VSS Writer System Writer mit dem Status 9 und dem Writer-spezifischen Fehlercode 0x800423F2.

 

 

 

 

 

ActiveDirectory_DomainService ID 2887

 

Während der vergangenen 24 Stunden haben einige Clients versucht, eine der folgenden LDAP-Bindungen vorzunehmen:

(1) Eine SASL-LDAP-Bindung (Verhandlung, Kerberos, NTLM oder Digest), die keine Signatur (Integritätsüberprüfung) anforderte, oder

(2) eine einfache LDAP-Bindung über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung).

 

Der Verzeichnisserver ist derzeit nicht zum Zurückweisen derartiger Bindungen konfiguriert. Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server zum Zurückweisen derartiger Bindungen konfigurieren. Weitere Details und Informationen zum Vornehmen dieser Konfigurationsänderung auf dem Server finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".

 

Eine Zusammenfassung der Anzahl derartiger Bindungen, die in den vergangenen 24 Stunden eingegangen sind, finden Sie unten.

 

Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren. Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.

 

Anzahl der einfachen Bindungen, die ohne SSL/TLS erfolgten: 0

Anzahl der Verhandlungs-/Kerberos-/NTLM-/Digestbindungen, die ohne Signatur erfolgten: 15

Edited by Pigu

Share this post


Link to post
Share on other sites

Moin,

 

die Netzwerkumgebung war schon immer unzuverlässig. In den allermeisten Netzwerken braucht man sie auch nicht. Sie wird meist einfach ignoriert. "Fehler" dieser Liste sind keine wichtigen Fehler.

 

Dein VSS-Fehler hat damit nichts zu tun, da solltest du dich separat drum kümmern. Ich empfehle darüber hinaus dringend, das AD noch separat mit Bordmitteln zu sichern (Systemstate oder Full Backup mit Windows Server Backup, im Zweifel zusätzlich zu Veeam). Nur so hast du im Fall des Falles eine herstellerunterstützte AD-Sicherung.

 

Das Event 2887 kannst du innerhalb des LANs ignorieren. Es wäre zwar besser, nur verschlüsselte oder signierte Bindungen zuzulassen, aber innerhalb eines (kleineren) Netzwerks macht das sicherheitstechnisch "den Kohl nicht fett", weil dort meist noch ganz andere Lücken vorliegen. Sonst hast du ja einen Link dazu. Mit deinem Problem hat die Meldung aber nichts zu tun.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Ich meine, man muss nicht die Geräte neu starten , es sollte reichen den Browserdienst neu zu starten auf dem DC, dieser sollte Masterbrowser sein. Die Browserdienste auf den Arbeitsstationen kann man getrost deaktivieren, diese neigen zur Schwätzerei.

Edited by lefg

Share this post


Link to post
Share on other sites

Moin,

 

wenn man den Masterbrowser neu startet, stellt er die Liste neu zusammen. Das kann durchaus 30 Minuten dauern. Auch länger.

 

Mag Abhilfe schaffen, aber eben nicht sofort.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Hallo, danke für eure Antworten. Ich werde heue abend den Dienst auf dem DC aktivieren und nochmal alles neustarten. Ich werde berichten.

Share this post


Link to post
Share on other sites

Dienste auf den Clients sind per Gruppenrichtlinie deaktivierbar, auch der Computerbrowser, dann bleibt als möglicher Masterbrowser nur der auf dem DC. Nach meiner Erfahrung ist dann alles gut. Falls es keinen DC und keine Gruppenrichtlinie gibt, die Turnschuharbeit reduzieren möchte, kann man das remote über die Computerverwaltung machen oder mit SC.an der Eingabeaufforderung oder Batch.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...