Jump to content

Anmeldung an Domain nicht möglich während ein DC durchgestartet wird


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi

 

Ich habe ein Problem bei dem ich seit Tagen nicht weiterkomme. 

Ich habe 2 DCs - 1x physisch 1x virtuell - beide w2k12R2 soweit kein Problem.

Wenn ich aber den physichen Server durchstarte z.B. beim Patchen sind keine Anmeldungen an der Domain möglich. 

Irgendwann nach 10-20 Min übernimmt dann der physische Server und es funktioniert wieder.

Wenn ich mit dem Perfmon die Anmeldungen am Ad ansehe, gibt es ein massives Ungleichgewicht... Der Physische Server bekommt etwa 20-30% der Anfragen der virtuelle 70-80%.

Kann ich das irgendwie steuern?

entweder 50/50, bzw die Zeit für den "Failover" verkürzen? genau dafür hat man ja 2 DCs

 

Beide sind natürlich GC Server... 

und der virtuelle DC ist der dritte DNS Server der im DHCP eingetragen ist... 

 

Danke schon mal für die Hilfe!

bearbeitet von Osmo
Link zu diesem Kommentar

ich habe 3 DNS Server eingetragen, 2 physische und dann als "Ausfall" den virtuellen als dritten - sollte also nur zum Tragen kommen wenn beide physischen weg sind... 

 

vom Provider ist kein DNS eingetragen... 

das blöde ist ja auch dass während des Patchen (passiert regelmässig) meine Cluster nicht mehr verwendbar sind... 

Die Clusterobjekte sind nicht erreichbar, WIndowsupdate usw. nicht möglich... 

 Auszug aus dem Log:

 

This computer was not able to set up a secure session with a domain controller in domain ******* due to the following: 
There are currently no logon servers available to service the logon request. 
This may lead to authentication problems. Make sure that this computer is connected to the network. If the problem persists, please contact your domain administrator.  
 
ADDITIONAL INFO 
If this computer is a domain controller for the specified domain, it sets up the secure session to the primary domain controller emulator in the specified domain. Otherwise, this computer sets up the secure session to any domain controller in the specified domain.
 
zu dem Zeitpunkt ist eine Namensauflösung per DNS möglich...  
 
physischer DC war aber up and running
Link zu diesem Kommentar

ist ein weiterer w2k12R2 Server - ist ein zweiter physischer Server (wurde von einem Kollegen installiert) 

haben somit 3 DCs - 2x physisch und 1x virtuell... - ich werde vorerst mal dem virtuellen den GC wegnehmen...

 

und ich versuche mit nslookup die Namensauflösung... aktuelle Logs kann ich nicht liefern - dazu brauch ich wieder eine Downtime.. aber das nächste Windowsupdate kommt bestimmt

Link zu diesem Kommentar

Moin,

 

mir scheint, ihr solltet eure Prozesse noch mal prüfen. Es sollte schon Einigkeit und Überblick herrschen, wie eure Infrastruktur aufgebaut ist.

 

Dann: nslookup ist nicht geeignet, um die Namensauflösung von Clients zu prüfen! nslookup arbeitet völlig anders als der Client-Resolver. Die erste Prüfung sollte immer mit ping erfolgen.

 

In praktisch allen Fällen dieser Art, die ich in den letzten 20 Jahren unterstützt habe, lag das Problem an falscher DNS-Konfiguration auf Clientseite. Dem würde ich an deiner Stelle also noch mal mit einer genauen Detailprüfung (und nicht nur Vermutungen) nachgehen.

 

Gruß, Nils

PS. und nein, entferne nicht den GC. Der hat, wie DocData richtig sagt, mit dem Problem nichts zu tun. Und jeder DC hat GC zu sein, in praktisch jeder Umgebung.

bearbeitet von NilsK
Link zu diesem Kommentar

 

Wenn ich mit dem Perfmon die Anmeldungen am Ad ansehe, gibt es ein massives Ungleichgewicht... Der Physische Server bekommt etwa 20-30% der Anfragen der virtuelle 70-80%.

 

Moin

 

Ob die ungleiche Verteilung von Anmeldungen auf die Anemldeserver mit deren jeweilige zeitliche Erreichbarkeit von den Clients aus ursächlich ist? Oder deren momentane Beschäftigung? Steht irgendwo geschrieben, die Anmeldungen müssten gleichverteilt sein?

bearbeitet von lefg
Link zu diesem Kommentar

 

Kann ich das irgendwie steuern?

entweder 50/50, bzw die Zeit für den "Failover" verkürzen? genau dafür hat man ja 2 DCs

 

Ich erinnere mich an den Begriff bevorzugter Anmeldeserver.

 

Ob das aber etwas nutzte hinsichtlich des Probelms wenn der eine Server nicht verfügbar, mit dem anderen keine Anmelding möglich? Ob das nicht ein Versuch zu laborieren anstatt dem Problem auf den Grund zu gehen?

 

Wurde der Begriff Ereignisanzeige hier schon erwähnt? Wurden die Ereignisanzeigen der Server(DC) und der Clients schon in Augenschein genommen?

bearbeitet von lefg
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...