Jump to content

Domänenanmeldung erst nach Neustart von NTDS


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo miteinander,

 

ich betreibe seit einem Jahr einen Windows Server 2016 Standard als alleinigen Domänencontroller. Seit etwa 3 Wochen besteht das Problem, das die Domänenbenutzer (oder auch DomänenAdmins) sich an ihren Client-PCs morgens nicht mehr anmelden können. Die Fehlermeldung lautet dann etwa, das die Domäne nicht zur Verfügung steht. Meine derzeitige Problemlösung sieht so aus, das ich dann an den Server gehe und den Dienst  "NTDS" beende und neu starte . Danach funktioniert die Anmeldung bis zum Feierabend. Am nächsten Morgen dann wieder das gleiche Problem und die gleiche Prozedur. Kennt jemand dieses Fehlverhalten und weiß wo der Fehler zu suchen ist?

Domänenfunktionsebene ist Windows Server 2016.

 

Ich danke für jede Hilfe

James

Link zu diesem Kommentar

Dann solltest du über einen dritten DC nachdenken...

 

In den Logs am Server eventviewer.msc

 

Beim Start vom Server sollten die meiner Meinung nach gleich im Servermanager auftauchen.

 

Was für ein AV ist am DC installiert?

Was für ein OS läuft auf den Clients / dem DC? - OK, DC habe ich überlesen, ist ein 2016

Ist der aktuell?

Gibt es weitere Server, z.B. Exchange, Filer, ....

bearbeitet von Nobbyaushb
Link zu diesem Kommentar

Moin,

 

vor 14 Minuten schrieb Nobbyaushb:

Dann solltest du über einen dritten DC nachdenken...

ich gehe sogar noch weiter und sage: Der TO sollte über einen zweiten DC nachdenken. :lol3:

Ernsthaft: Bei 77 Usern ist ein DC viel zu wenig. Sobald es zweistellig wird, ist ein einzelner DC zu wenig. Warum, das siehst du ja jetzt.

 

Die Logs, in denen sich sicher was findet, sind das System Log, das Application Log und unterhalb von "Dienst- und Anwendungsprotokolle" die Verzeichnisdienste (je nach Sprache auch "Directory Service").

Parallel kannst du in einem CMD-Fenster mit Adminrechten noch mal dies ausführen und uns sagen, welche Fehler dort gemeldet werden:

dcdiag > C:\Pfad\dcdiag.txt

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

Danke Euch für Eure Anregungen.

Hallo Nobby, auf dem DC ist als AV Trend Micro OfficeScan XG installiert, wobei er auch die Aufgabe des OfficeScan Servers bekleidet, das heißt , die Clients holen sich bei ihm ihre neuen Virensignaturen. Windows-Update-mäßig ist er aktuell. Seine Updates bezieht er von einem WSUS-Server, der wiederum ein Domänenmitglied ist. Auf den Clients läuft Windows 10 Pro 64.

 

Das hätte ich nicht gedacht, das so ein Domänencontroller so schnell an seiner Leistungsgrenze ist. Wenn ich (jetzt mal laienhaft, was ja auch noch zutrifft ;-)) dem seinen Taskmanager im Leistungsfenster so betrachte: der macht den ganzen Tag nix! Prozessorlast immer unten, die 16 GB RAM nur bis 3GB ausgelastet. Wie kann der sich überlastet fühlen?

Die Logs bin ich jetzt am durchforsten. Das Ergebnis vom DCDIAG liefere ich Euch aber schon mal.

 

Grüße

James

dcdiag.txt

Link zu diesem Kommentar

Moin,

 

der DC ist ja auch nicht überlastet. Einen überlasteten DC habe ich in 20 Jahren noch nie gesehen, auch nicht in Großunternehmen. Da ist was anderes im Busch. Einen weiteren DC empfehlen wir nicht wegen Leistungsgrenzen, sondern wegen der Redundanz. Wie du ja merkst, hängt ein Windows-Netzwerk von Active Directory ab, da ist es sehr hinderlich, wenn dieses nur auf einem Server läuft und dieser nicht richtig funktioniert.

 

Die Ausgabe von dcdiag gibt leider nichts her. Im Eventlog müsste sich was finden lassen. Das Verhalten ist jedenfalls nicht normal.

 

Gruß, Nils

 

Link zu diesem Kommentar

@NilsK

Ok, jetzt verstehe ich, was Du meinst. Der Fehler wird also nicht durch die 77 Clients verursacht, wenn ich Euch richtig verstehe, sondern, weil irgenwo etwas verbogen ist. Das beruhigt mich, da das ja auch meine ursprüngliche Vermutung war. Mein Projekt ist immer noch im Teststatus, wo ein Ausfall noch nicht tragisch ist, deshalb konnte ich bisher auf eine Redundaz verzichten. Für die Zukunft wird es dann aber doch wichtig für mich jetzt herauszufinden, was ich aktuell falsch mache, oder noch wichtiger: in der Vergangenheit falsch gemacht habe und jetzt möglicherweise seine Wirkung zeigt. Ich vermute nämlich, dass ich irgendwelche Leichen in meinem System rumschleppe (siehe DFSREvent im DCDIAG.txt), die im Laufe der letzten 3 Jahre entstanden sind, als ich anfing, mich mit Domänen und AD zu befassen. Das aktuelle System ist anfänglich aus einem Server 2008 gewachsen, und dann über Server 2012 letztendlich auf Server 2016 gelandet, wobei die ursprüngliche Domäne von einem System auf das nächste umgezogen ist. Dabei ist das System PDC-und FSMO-mäßig geschwenkt worden, war auf verschiedenen Rechnern, hatte zwischenzeitlich auch mal einen zweiten DC, den ich dann aber wegen Replikationsproblemen wieder wegfallen ließ. Und jetzt werden meine Leichen scheinbar lebendig . . . ganz schön gruselig, nicht wahr? 8-) ich brauche jetzt einen Van Helsing, der mein System wieder bereinigt! ;-)  jetzt aber wieder ernsthaft: Ich werde die Logfiles weiter durchsuchen.

 

Grüße

James

Link zu diesem Kommentar
vor 2 Stunden schrieb James_Eric:

was ich aktuell falsch mache, oder noch wichtiger: in der Vergangenheit falsch gemacht habe und jetzt möglicherweise seine Wirkung zeigt.

Kennst du PingCastle?

https://www.pingcastle.com/download/

 

Das Tool setzen bei uns die Admins für domain assessments ein. Kostet nichts und ist relativ einfach in der Handhabe. Ich schau aber immer nur zu :-)

 

 

bearbeitet von SandyB
Link zu diesem Kommentar
vor 10 Stunden schrieb NorbertFe:

Alles nichts ungewöhnliches. Kenne genug Domains, die unter nt 4 entstanden sind und immer noch leben und gesund sind. ;)

Unsere z.B. - aber daran hast du ja auch mitgewirkt...

 

Auch ich denke, da sollte ggf. mal jemand drüber schauen, so merkwürdige Sachen sind in einem Forum sehr schwer zu klären :-)

Link zu diesem Kommentar

Moin,

 

vor 14 Stunden schrieb James_Eric:

Mein Projekt ist immer noch im Teststatus

dann wäre es schön, wenn du künftig auf solche Umstände hinweist. Ist ja schon ein Unterschied, ob das produktiv-kritisch ist oder nicht.

 

Wie Norbert auch schon andeutete (der eine, bestätigt vom anderen :lol3:), werden "Altlasten" oft überbewertet. So magisch ist das AD nun auch wieder nicht, dass man es nicht aufgeräumt oder repariert bekäme. Ein AD, das nicht ordentlich läuft, lässt sich so gut wie immer korrigieren. Das ist am Ende eine Frage des Aufwands.

 

Um hier aber am richtigen Ende anzusetzen: Was genau heißt "Teststatus"? Ist das eine produktive Umgebung oder nicht? Wäre es evtl. effizienter, das AD neu einzurichten, weil es ohnehin nicht ernsthaft verwendet wird? Oder müsste man sich darauf konzentrieren, das Vorhandene geradezubiegen?

 

Falls Letzteres, gehe ich stark davon aus, dass die Installation eines zweiten DCs in der Domäne die Stabilität des ADs herstellen würde. Dann könnte man den "alten" DC in Ruhe reparieren oder ersetzen. Es klingt für mich bis hierhin so, als läge auf der Maschine ein lokales Problem vor. Um das richtig einzuschätzen, könnte aber kompetente Unterstützung hilfreich sein, wie Norbert (der andere) auch vorschlägt.

 

Gruß, Nils

 

Link zu diesem Kommentar

@SandyB

Hallo Sandy, danke für Deinen Tip. Das Tool gibt eine schöne Übersicht her.

@NilsK

Sorry, wenn meine Beschreibung zu Verwirrung führt, das war nicht meine Absicht. Es ist quasi ein Mischbetrieb von bisher "ungeregelten" Clients (etwa 300), die bisher ohne Domäne vor sich hin gewerkelt haben, und der neuen Situation, die als Folge haben soll, das diese Clients zukünfig zentral von der Domäne aus gesteuert werden können sollen (Firewallkonfiguration etc.). Diese Clients nehme ich zur Zeit pöapö (weiß nicht wie man das richtig schreibt :) in die Domäne auf (aktuell wie gesagt 77). Dadurch, das die Clients zur Erfüllung ihrer Aufgabe nicht umbeding auf die Domäne angewiesen sind, sind sie vom aktuellen Problem nur indirekt betroffen. Die Benutzer arbeiteten bisher mit lokalen Konten auf den Clients, zukünftig soll aber verstärkt auf Domänenkontos umgestellt werden. Deswegen hatte ich es "Teststatus" genannt. Der Teststatus soll fließend in den Wirkbetrieb übergehen. Und bis vor 3 Wochen sah es so aus, als würde alles reibungslos funktionieren.

 

Mein aktueller Plan sieht jetzt folgender Maßen aus: Ich konzentriere mich erst mal auf Weihnachten, dann orientiere ich mich verstärkt an Euren Vorschlägen und werde (nach dem Jahreswechsel) einen zweiten DC in der Domäne aufsetzen und schauen, ob dann das Problem weiterhin besteht. Falls die Probleme weiterhin auftreten sollten, werde ich die Domäne komplett neu machen (dann am liebsten aber direkt unter Server 2019) und die 77 Clients müssen dann eben nochmal neu eingebunden werden.

 

Ich danke Euch bis dahin für Eure Hilfe und wünsche Euch allen an dieser Stelle schon mal frohe Feiertage und einen schönen Jahreswechsel

James

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...