Domaincontroller unidentifizertes Netzwerk

[Sunny61 772]

Das mit IPv6 war auch nur ein Test. Hab nun nochmals die komplett ursprüngliche Konfiguration hergestellt und davon ipconfig /all gezogen.

Tur mir leid, dass ich da teilweise Altdateien hochgeladen habe. DCDiag ebenfalls aktualisiert.

Hmm, wie soll man da helfen, wenn einem so viele Steine in den Weg gelegt werden?

 

 

Löschen aller Einträge aus Networklist wäre noch eine Idee, probiere ich direkt mal aus. Manuell hatte ich es bereits eingetragen, aber nur Private da ja Domain automatisch gesetzt wird.

Domänennetzwerk = Category 2, CategoryType = 0.

 

Category:

Öffentlich = 0

Privat = 1

Arbeitsplatz = 2

[RogerG781 22]

Hmm, wie soll man da helfen, wenn einem so viele Steine in den Weg gelegt werden?

 

 

Domänennetzwerk = Category 2, CategoryType = 0.

 

Category:

Öffentlich = 0

Privat = 1

Arbeitsplatz = 2

Ja,da gebe ich dir Recht! Tut mir wirklich leid!

Probiere es gleich aus.

[willy-goergen 0]

 

Einen neuen DC installieren, wird vermutlich nicht gehen, da ja derzeit keine DC funktionieren

 

 

Hast du keine Sicherung des Active Directory, die du notfalls (zum Beispiel auf einen physischen) Server zurückspielen kannst, um etwas Ruhe für die eigentliche Fehlersuche bzw. Behebung zu bekommen?

 

Weiß ja grad nicht, wie groß der Leidensdruck bei dir ist. Aber wenn du es bisher nicht geschafft hast, könnte das u.U. eine längere Sache werden.

[RogerG781 22]

Also ich hab alle Einträge aus HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\* gelöscht.

Nach einem Neustart kam ein Profile wieder. Wenn kein Gateway eingetragen ist wird die Connection gar nicht erst unter dem Netzwerksymbol angezeigt.

Nachdem ich ein Gateway eingetragen habe, wurde gefragt und Einstufung als Private erfolgte.

 

Löschen des Gateways und manuelles Eintragen Cat 2 erfolgt, Neustart -> Erkannt als Unidentified Network (Public).

Erfolgte alles auf WDC2.

Hast du keine Sicherung des Active Directory, die du notfalls (zum Beispiel auf einen physischen) Server zurückspielen kannst, um etwas Ruhe für die eigentliche Fehlersuche bzw. Behebung zu bekommen?

 

Weiß ja grad nicht, wie groß der Leidensdruck bei dir ist. Aber wenn du es bisher nicht geschafft hast, könnte das u.U. eine längere Sache werden.

Der steigt stündlich. Nein leider nicht.

Es sind Backups von allen Diensten und Servern vorhanden, aber eben nicht vom DC, da bisher davon ausgegangen wurde, dass die beiden sich gegenseitig sichern :schreck:

Ja,da gebe ich dir Recht! Tut mir wirklich leid!

Probiere es gleich aus.

Ich habe nun mal einen Legacy Adapter mit der gleichen IP konfiguriert.

Nach einem Neustart wird Netzwerk Public erkannt.

Im NetworkList\Profiles\* wird kein neues erzeugt, sondern das bestehende hat Auswirkung auf den neuen Adapter (alte Adapter ist deaktiviert, ohne IP).

Sobald ich Category Type 2 eintrage wird das Netzwerk zumindest als Domainnetzwerk eingetragen, nach einem Neustart verschwindet diese zuordnung wieder und es wird automatisch 0 gesetzt.

 

Es wird zwar Domainnetwork im Netzwerkcenter angezeigt, aber in der Windows Firewall bleibt die Einstufung trotzdem bei Public.

bearbeitet 15. Februar 2016 von RogerG781

[Sunny61 772]

Also ich hab alle Einträge aus HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\* gelöscht.

Nach einem Neustart kam ein Profile wieder. Wenn kein Gateway eingetragen ist wird die Connection gar nicht erst unter dem Netzwerksymbol angezeigt.

Nachdem ich ein Gateway eingetragen habe, wurde gefragt und Einstufung als Private erfolgte.

 

Löschen des Gateways und manuelles Eintragen Cat 2 erfolgt, Neustart -> Erkannt als Unidentified Network (Public).

Erfolgte alles auf WDC2.

Und welcher DC ist auf WDC als erster DNS eingetragen? Trag ihn doch mal selbst ein, so findet er zumindest das AD. Hast Du auch den CategoryType eingetragen?

 

Der steigt stündlich. Nein leider nicht.

Es sind Backups von allen Diensten und Servern vorhanden, aber eben nicht vom DC, da bisher davon ausgegangen wurde, dass die beiden sich gegenseitig sichern :schreck:

Flasch. Sie sichern sich nicht gegenseitig, sondern sie replizieren Daten aus dem AD miteinander. Sicherung geht anders. Jetzt weißt Du warum man auch von einem DC eine Sicherung anlegt.

 

Langsam aber ganz sicher solltest Du dir einen Dienstleister vor Ort holen.

[Nobbyaushb 1.355]

Haben die VM vom Host denn die gleichen Namen wie vorher?

 

Und ich schließe mich der Meinung von Sunny, hole dir jemanden dazu.

 

Hilft dir jetzt nicht, aber ich habe bei allen meinem Kunden mindestens 1 DC physisch zusätzlich zu den VM laufen, und natürlich wird mindestens 1 täglich gesichert, nach größeren Änderungen manuell.

 

bearbeitet 15. Februar 2016 von Nobbyaushb

[RogerG781 22]

Und welcher DC ist auf WDC als erster DNS eingetragen? Trag ihn doch mal selbst ein, so findet er zumindest das AD. Hast Du auch den CategoryType eingetragen?

 

 

Flasch. Sie sichern sich nicht gegenseitig, sondern sie replizieren Daten aus dem AD miteinander. Sicherung geht anders. Jetzt weißt Du warum man auch von einem DC eine Sicherung anlegt.

 

Langsam aber ganz sicher solltest Du dir einen Dienstleister vor Ort holen.

 

Sie sind über Kreuz eingetragen WDC1 hat als 1. DNS WDC2 & 2. DNS sich selbst eingetragen und bei WDC2 genau umgekehrt.

Sind bereits beide auch mit eigener IP als 1. DNS neu gestartet worden.

Stimmt, Sie sichern sich nicht sondern replizieren sich gegenseitig ;)

Category Type ist ebenfalls eingetragen.

 

 

Haben die VM vom Host denn die gleichen Namen wie vorher?

 

Und ich schließe mich der Meinung von Sunny, hole dir jemanden dazu.

 

Hilft dir jetzt nicht, aber ich habe bei allen meinem Kunden mindestens 1 DC physisch zusätzlich zu den VM laufen, und natürlich wird mindestens 1 täglich gesichert, nach größeren Änderungen manuell.

 

Ja, die wurden ja aus dem Laufwerk mit gleicher GUID importiert. Es wurde keine Änderungen an der Hardware oder Zuordnung der Laufwerke oder ähnliches vorgenommen.

Daher hat sich aus meiner Betrachtung für die DCs nur die MAC geändert.

 

Es ist ja nicht da erste Mal, dass diese importiert wurden, aber das erste mal, dass das Netzwerk nicht mehr als eigenes erkannt wird.

bearbeitet 15. Februar 2016 von RogerG781

[Jim di Griz 13]

gib den beiden doch mal eine neue ip, nur für einen test.

wenn es funktioniert nach einer weile wieder auf den alten wert.

[RogerG781 22]

Mit den IP-Adressen hatte ich bereits versucht.

 

Also ich hab mir nun Luft verschafft und das ganze in eine Laborumgebung gewandelt um dem Fehler zu finden.

 

Mit dem STart der DCs werden auch alle Dienste gestartet.

Im Log Directory Services werden einmalig Einträge generiert, danach für die gesamte Laufzeit keine weiteren.

 

Interessant wird es im DNS-Log:

- Regelmäßige Zonenübertragung an DNS-Server mit DNS-Zonen-Kopie erfolgreich

- Nachdem Start wird Event 4013 DNS server is waiting for AD DS to signal that the initial synchronization of the directory has been completed in weiteren Laufzeit keine weiteren Meldungen bis auf Infos zur Zonenübertragung

- Außerdem wird nach einem Neustart oder wenn ich die IP-Konnektivität kurzzeitig trenne, folgende Fehler im Log produziert:

++ Error 407 DNS could not bind a UDP Socket to 81.31

++ Error 408 The DNS server could not open socket for address 81.31.

++ Error 404 DNS could not bind a TCP Socket to 81.31

 

Diese Fehler lassen sich auf beiden DCs reproduzieren und erscheinen nach Server-Neustart oder Trennung der Konnektivität, auch mit geänderten IP-Adressen. Wird hingegen nur der DNS-Service neugestartet, keine Fehler.

 

WDC1-Roles: AD-CS, AD-DS, DHCP, DNS, IIS

WDC2-Roles: AD-DS, AD-FS, DNS

keine zusätzlichen Programme, Firewall oder Antivirus-Service.

 

Ich werde nun mal schauen, ob ich die Fehler lösen kann und halte euch auf dem Laufenden.

Über Ideen freue ich mich :)

 

Gleich ein Nachbrenner. Wenn ich in den DNS-Einstellungen (WDC1) das IPv4 Adresse deaktiviere und Listening auf IPv6 Auto (fe80) lasse, wird das Netzwerk sofort als Domain Network erkannt :shock:

bearbeitet 18. Februar 2016 von RogerG781

[Jim di Griz 13]

Hallo,

erst mal sorry für den kurzen EIntrag. Hatte das Problem auch mal, die Lösung war (wenn ich mich recht entsinne) nach Booten netzwerkprofile in der registry loeschen, ip aendern, rebooten, bereinigen der network profile in der registry, aendern der IP und booten.

 

Hier: https://social.technet.microsoft.com/Forums/windowsserver/en-US/58e53691-64cd-44b9-98a2-ff1697e3ea83/unidentified-network-default-gateway?forum=winserverPN hat noch jemand eine andere Idee, das Default profil für unidentified network von public auf privat zu stellen.

 

Ich weiss noch das ich hier (mcseboard) recht erbost was dazu gepostet hatte weil der kram aus heiterem himmel auf mehreren servern nicht mehr funktionierte.

Es gibt recht viele Hits zu dem Fehler, leider sind die wirksamen Lösungen genau wie die Erklaerungen wie es dazu kommt unter extremen Bergen von Geschwafel verschuettet :)

Ich werd aber langsam aelter ud tendiere dazu geloeste probleme zu verdraengen um platz zu schaffen.

Dieser: http://evansblog.thebarrs.info/2013/02/windows-server-force-your-network.html freundliche Mensch beschränkt sich auf mehrere tehnische Wege das ganze zu lösen.

[RogerG781 22]

Hallo,

erst mal sorry für den kurzen EIntrag. Hatte das Problem auch mal, die Lösung war (wenn ich mich recht entsinne) nach Booten netzwerkprofile in der registry loeschen, ip aendern, rebooten, bereinigen der network profile in der registry, aendern der IP und booten.

Vielen Dank für deine Hilfe.

Das komplette bereinigen habe ich nochmal ausprobiert. Es hat leider keinen Effekt.

Auch die Einstufung in den bereits erstellten bzw. neu erstellten Profile der Category 2 führt zwar dazu, dass es zumindest als Privat erkannt wird, aber nicht als Domainnetwork.

Nach einem Neustart setzt das System den Wert auf 0 Public zurück und ich stehe wieder am Anfang.

Die Logs sind ja weitesgehend sauber, aber die Einstufung und das Mappen der Verzeichnisfreigaben erfolgt in keinem Fall.

 

Aus dem letzten Link hatte ich bereits die Einstufung über die Lokale Richtlinie und eben Registry versucht, aber es erzielt kein Ergebnis.

 

Die Einstufung als Domainnetwork erfolgt ja normalerweilse automatisch beim Start.

Weiß jemand welche Dienste bereits fehlerfrei gestartet sein, damit die NLA das Netz als Domain einstuft bzw. von welchem Dienst ist die korrekte Erkennung abhängig?

[Sunny61 772]

Lt. Regeln hier im Board, sollst Du auf den Thread im Technet hinweisen. Ich mach das mal für dich: https://social.technet.microsoft.com/Forums/de-DE/1e816f02-bad7-4a3e-abc4-424bb8d7b59f/domnencontroller-stuft-netz-als-unidentified-public-ein?forum=active_directoryde

[RogerG781 22]

Hallo, vielen Dank, habe ich soeben auch gelesen. Hatte gehofft, dort evtl. noch andere Mitleser zu erreichen.

[Sunny61 772]

Hast Du denn den MSFT-Support schon eingeschaltet? Wenn nein, jetzt wäre vermutlich ein guter Zeitpunkt das zu tun. Und zukünftig auch immer einen DC auf richtiger Hardware vorhalten. ;)

[RogerG781 22]

So, konnte das Problem zwischenzeitlich lösen. Den Support hatte ich nicht eingeschaltet.

DCDiag war bei der Spurensuche im ganzen Goldwert

Auf beiden DCs wurden Sysvol und Netlogon nicht gemappt. Während auf dem WDC1 das Domainverzeichnis vorhanden war, wurde auf dem WDC2 mittlerweile ein Preexisting Domainverzeichnis angezeigt.

 

Diese konnte ich zunächst mit der 2. Lösung aus dem Artikel https://support.microsoft.com/en-us/kb/958804 lösen. Nach einem manuellen Neustart des NTFRS-Dienstes wurden die Verzeichnise wieder gemappt und das Netzwerk mit bisheriger Konfiguration (ohne Gateway) als Domainnetwork erkannt.

Auf dem WDC1 war nun noch die Löschung der ProfileList notwendig und nach einem Neustart wurde auch dort das Netzwerk wieder korrekt eingestuft.

 

Nun werde ich noch die Replikation prüfen und das ganze ins Backup einfügen.

bearbeitet 22. Februar 2016 von RogerG781