Jump to content
Sign in to follow this  
mwiederkehr

keine Anmeldung an DC möglich nach Routerwechsel

Recommended Posts

Hallo zusammen

 

Bei einem Kunden steht ein physischer Domänencontroller mit Windows Server 2012 R2, es ist der einzige DC der Domäne. Heute wurde dort der Router ausgetauscht und es gab einen geplanten Stromunterbruch, weswegen der Server heruntergefahren wurde. Nach dem Neustart konnte man sich nicht mehr anmelden, auch am Server selbst nicht mehr: "Es stehen keine Server zum Verarbeiten der Anmeldeinformationen zur Verfügung." Das Netzwerksymbol auf der Anmeldemaske zeigte ein rotes X, "keine Verbindungen verfügbar".

 

Es war nicht das IPv6-Problem (Router bietet sich als DNS-Server an und DC verwendet diesen statt sich selbst), da IPv4 per Registry präferiert wird. Also in den AD-Wiederherstellungsmodus gestartet und angemeldet. Es kam die Meldung "es steht ein neues Netzwerk zur Verfügung, wollen Sie Computer finden etc.?". Auf "Ja" geklickt. Im Ereignisprotokoll stand, dass der Server keine Domänencontroller finden könne. Als DNS-Server eingetragen ist 127.0.0.1 (und zusätzlich habe ich noch die IP-Adresse des Servers selbst eingetragen als sekundären DNS-Server).

 

Neustart in den normalen Modus, alles wieder OK. Netzwerksymbol wieder normal.

 

Kommt das jemandem bekannt vor? Kann mir fast nicht vorstellen, dass man sich nicht mehr bei Windows anmelden können soll, nur weil der Router ausgewechselt wurde. Zumal die Netzwerkkarte ja nicht auf DHCP steht. Es fällt mir "Network Location Awareness" ein, aber das sollte ja allenfalls entfernte Rechner betreffen, aber nicht die lokale Anmeldung am DC?

Share this post


Link to post
Share on other sites

Swisscom Centro Business 2.0. Sollte aber (hoffentlich) nichts damit zu tun haben.

 

Wir hatten in letzter Zeit schon Anmeldeprobleme wegen dem Router. Nach einem Firmwareupdate hat er sich trotz gegenteiliger Einstellung über IPv6 als DNS-Server angeboten. Windows Server 2012 R2 und 2016 finden das Angebot unwiderstehlich und man kann sich dann nicht mehr anmelden, weil der DC seine eigene Domäne nicht mehr findet. IPv4 zu präferieren hat in diesen Fällen jeweils geholfen. (Der Server 2008 R2 scheint in dieser Hinsicht übrigens robuster zu sein: habe schon bei Kunden DCs gesehen, die nur einen externen  DNS-Server eingetragen hatten und man konnte sich trotzdem anmelden. Der scheint zuerst zu schauen, ob er DC ist, bevor er im DNS einen DC sucht.)

 

Folgendes habe ich gerade gefunden: anscheinend sollen gewisse Server automatisch im AD-Wiederherstellungsmodus starten: http://blog.becker.sc/2018/08/windows-domain-controller-es-sind.html Lese ich zum ersten Mal. Könnte aber schon sein, dass es etwas mit einem Update zu tun hat, denn ich habe die letzten Jahre viele Server bei mir installiert und dann beim Kunden gestartet und hatte nie ein solches Problem.

Share this post


Link to post
Share on other sites

Ist am Router ipv6 aus? Von der Telekom sind die speedports auch so doof, dass man sie dafür nicht einsetzen kann. Das dürfte bei dir auch das Problem sein, auch wenn du oben meinst es wäre was anderes.

Share this post


Link to post
Share on other sites

Ja, es ist aus. Nur hat das leider keinen Effekt wegen eines Bugs in der Firmware...

 

Was könnte denn noch das Problem sein mit IPv6? Wenn ich IPv4 präferiere, sollte es dem Server doch egal sein, was irgendein Router über IPv6 verzapft?

Share this post


Link to post
Share on other sites

Das ist dem Server eben nicht egal, wie du ja gerade feststellst. :) Da hilft maximal überall IPv6 komplett deaktivieren. Kannst du ja schnell mal am Server und einem Client testen.

Share this post


Link to post
Share on other sites

Hi,

 

evtl. wurde durch die neue MAC-Adresse vom Gateway ein neues Netzwerk "identifiziert". Solange du das nicht bestätigst, ist das AFAIK mit dem Firewall-Profil "Öffentlich" ausgestattet. Sofern es nur einen DC gibt, kann das so schonmal passieren.

 

Oder eben doch IPv6. ;)

 

Gruß

Jan

Share this post


Link to post
Share on other sites
vor 13 Stunden schrieb NorbertFe:

Das ist dem Server eben nicht egal, wie du ja gerade feststellst. :) Da hilft maximal überall IPv6 komplett deaktivieren. Kannst du ja schnell mal am Server und einem Client testen.

Habe ich mich nie getraut, weil es von Microsoft heisst, es sei nicht empfohlen. :-) Er präferiert IPv4 nicht so, wie man sich das vorstellt, wie ich gerade gesehen habe: mit "nslookup www.google.com" fragt er immer noch AAAA und A ab, nimmt dann beim ping einfach den A-Record. Das dass bei einem Memberserver Probleme verursachen kann, wenn er den falschen DNS befragt, ist klar. Aber auf dem DC steht als DNS fix "::1" drin und DNS gibt lokal über IPv6 auch Antwort.

 

vor 3 Stunden schrieb testperson:

evtl. wurde durch die neue MAC-Adresse vom Gateway ein neues Netzwerk "identifiziert". Solange du das nicht bestätigst, ist das AFAIK mit dem Firewall-Profil "Öffentlich" ausgestattet. Sofern es nur einen DC gibt, kann das so schonmal passieren.

Ja, das vermute ich auch. Nur verstehe ich nicht, weshalb das auf einem DC Probleme mit der Anmeldung geben soll. Memberserver können den DC wegen der Firewall allenfalls nicht mehr erreichen, aber am DC selbst sollte man sich ja immer anmelden können. Falls nicht, hätte jeder das Problem, der einen DC zum Kunden bringt. :-)

 

Langsam frage ich mich, ob es nicht dieses Problem ist: http://blog.becker.sc/2018/08/windows-domain-controller-es-sind.html

 

Leider habe ich nicht ausprobiert, ob ich mich bei den Servern im Fehlerzustand mit dem AD-Recovery-Passwort hätte anmelden können. Vielleicht sind die tatsächlich in den DSRM gestartet. Allerdings habe ich noch nie gehört, dass ein Server aus einer Laune heraus die Bootkonfiguration verstellt.

Share this post


Link to post
Share on other sites
vor 57 Minuten schrieb NorbertFe:

Nimm den ROuter mal ausser Betrieb. GEhts dann?

Ist dann etwas schwierig auf den iLO zu kommen. :-) Habe es aber gestern versucht zum dem Kunden durchzuspielen: Netzwerkkabel ausgesteckt, neu gestartet => ging auch nicht. (Und das sollte ja gehen, wenn 127.0.0.1 als DNS eingetragen ist, oder?)

 

Werde das nächste Mal dem Kunden aber sagen, er soll das Netzwerkkabel am Router abziehen, nicht am Server.

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb NorbertFe:

LOL ja wenn man den DC rauszieht, wirds schwierig mit Domain-Anmeldung. ;)

Ja das sowieso. :D Es geht mir aber nur um die "lokale" Anmeldung am DC, also per Bildschirm oder iLO.

 

Tröstlich ist, dass das jetzt genau die Kunden betrifft, denen ein richtiger Router bzw. eine Firewall zu teuer waren...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...