Jump to content
James_Eric

Domänenanmeldung erst nach Neustart von NTDS

Recommended Posts

Hallo miteinander,

 

ich betreibe seit einem Jahr einen Windows Server 2016 Standard als alleinigen Domänencontroller. Seit etwa 3 Wochen besteht das Problem, das die Domänenbenutzer (oder auch DomänenAdmins) sich an ihren Client-PCs morgens nicht mehr anmelden können. Die Fehlermeldung lautet dann etwa, das die Domäne nicht zur Verfügung steht. Meine derzeitige Problemlösung sieht so aus, das ich dann an den Server gehe und den Dienst  "NTDS" beende und neu starte . Danach funktioniert die Anmeldung bis zum Feierabend. Am nächsten Morgen dann wieder das gleiche Problem und die gleiche Prozedur. Kennt jemand dieses Fehlverhalten und weiß wo der Fehler zu suchen ist?

Domänenfunktionsebene ist Windows Server 2016.

 

Ich danke für jede Hilfe

James

Share this post


Link to post
Share on other sites

Moin,

 

wie groß ist das Netzwerk? Wie du jetzt gerade siehst, kann ein einzelner DC zu wenig sein.

 

Die Problemlage sollte sicher Spuren im Eventlog hinterlassen. Was sagt das denn dazu?

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Hallo Nils,

 

aktuell sind es 77 Clients. Später sollen es bis etwa 300 werden.

Kannst Du mir genauer sagen, in welchem Eventlog die entsprechenden Einträge hinterlegt werden?

 

Dank und Gruß

James

Share this post


Link to post
Share on other sites

Dann solltest du über einen dritten DC nachdenken...

 

In den Logs am Server eventviewer.msc

 

Beim Start vom Server sollten die meiner Meinung nach gleich im Servermanager auftauchen.

 

Was für ein AV ist am DC installiert?

Was für ein OS läuft auf den Clients / dem DC? - OK, DC habe ich überlesen, ist ein 2016

Ist der aktuell?

Gibt es weitere Server, z.B. Exchange, Filer, ....

Edited by Nobbyaushb

Share this post


Link to post
Share on other sites

Moin,

 

vor 14 Minuten schrieb Nobbyaushb:

Dann solltest du über einen dritten DC nachdenken...

ich gehe sogar noch weiter und sage: Der TO sollte über einen zweiten DC nachdenken. :lol3:

Ernsthaft: Bei 77 Usern ist ein DC viel zu wenig. Sobald es zweistellig wird, ist ein einzelner DC zu wenig. Warum, das siehst du ja jetzt.

 

Die Logs, in denen sich sicher was findet, sind das System Log, das Application Log und unterhalb von "Dienst- und Anwendungsprotokolle" die Verzeichnisdienste (je nach Sprache auch "Directory Service").

Parallel kannst du in einem CMD-Fenster mit Adminrechten noch mal dies ausführen und uns sagen, welche Fehler dort gemeldet werden:

dcdiag > C:\Pfad\dcdiag.txt

Gruß, Nils

 

Edited by NilsK
  • Like 1

Share this post


Link to post
Share on other sites

Danke Euch für Eure Anregungen.

Hallo Nobby, auf dem DC ist als AV Trend Micro OfficeScan XG installiert, wobei er auch die Aufgabe des OfficeScan Servers bekleidet, das heißt , die Clients holen sich bei ihm ihre neuen Virensignaturen. Windows-Update-mäßig ist er aktuell. Seine Updates bezieht er von einem WSUS-Server, der wiederum ein Domänenmitglied ist. Auf den Clients läuft Windows 10 Pro 64.

 

Das hätte ich nicht gedacht, das so ein Domänencontroller so schnell an seiner Leistungsgrenze ist. Wenn ich (jetzt mal laienhaft, was ja auch noch zutrifft ;-)) dem seinen Taskmanager im Leistungsfenster so betrachte: der macht den ganzen Tag nix! Prozessorlast immer unten, die 16 GB RAM nur bis 3GB ausgelastet. Wie kann der sich überlastet fühlen?

Die Logs bin ich jetzt am durchforsten. Das Ergebnis vom DCDIAG liefere ich Euch aber schon mal.

 

Grüße

James

dcdiag.txt

Share this post


Link to post
Share on other sites

Moin,

 

der DC ist ja auch nicht überlastet. Einen überlasteten DC habe ich in 20 Jahren noch nie gesehen, auch nicht in Großunternehmen. Da ist was anderes im Busch. Einen weiteren DC empfehlen wir nicht wegen Leistungsgrenzen, sondern wegen der Redundanz. Wie du ja merkst, hängt ein Windows-Netzwerk von Active Directory ab, da ist es sehr hinderlich, wenn dieses nur auf einem Server läuft und dieser nicht richtig funktioniert.

 

Die Ausgabe von dcdiag gibt leider nichts her. Im Eventlog müsste sich was finden lassen. Das Verhalten ist jedenfalls nicht normal.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

@NilsK

Ok, jetzt verstehe ich, was Du meinst. Der Fehler wird also nicht durch die 77 Clients verursacht, wenn ich Euch richtig verstehe, sondern, weil irgenwo etwas verbogen ist. Das beruhigt mich, da das ja auch meine ursprüngliche Vermutung war. Mein Projekt ist immer noch im Teststatus, wo ein Ausfall noch nicht tragisch ist, deshalb konnte ich bisher auf eine Redundaz verzichten. Für die Zukunft wird es dann aber doch wichtig für mich jetzt herauszufinden, was ich aktuell falsch mache, oder noch wichtiger: in der Vergangenheit falsch gemacht habe und jetzt möglicherweise seine Wirkung zeigt. Ich vermute nämlich, dass ich irgendwelche Leichen in meinem System rumschleppe (siehe DFSREvent im DCDIAG.txt), die im Laufe der letzten 3 Jahre entstanden sind, als ich anfing, mich mit Domänen und AD zu befassen. Das aktuelle System ist anfänglich aus einem Server 2008 gewachsen, und dann über Server 2012 letztendlich auf Server 2016 gelandet, wobei die ursprüngliche Domäne von einem System auf das nächste umgezogen ist. Dabei ist das System PDC-und FSMO-mäßig geschwenkt worden, war auf verschiedenen Rechnern, hatte zwischenzeitlich auch mal einen zweiten DC, den ich dann aber wegen Replikationsproblemen wieder wegfallen ließ. Und jetzt werden meine Leichen scheinbar lebendig . . . ganz schön gruselig, nicht wahr? 8-) ich brauche jetzt einen Van Helsing, der mein System wieder bereinigt! ;-)  jetzt aber wieder ernsthaft: Ich werde die Logfiles weiter durchsuchen.

 

Grüße

James

Share this post


Link to post
Share on other sites
vor 2 Stunden schrieb James_Eric:

was ich aktuell falsch mache, oder noch wichtiger: in der Vergangenheit falsch gemacht habe und jetzt möglicherweise seine Wirkung zeigt.

Kennst du PingCastle?

https://www.pingcastle.com/download/

 

Das Tool setzen bei uns die Admins für domain assessments ein. Kostet nichts und ist relativ einfach in der Handhabe. Ich schau aber immer nur zu :-)

 

 

Edited by SandyB

Share this post


Link to post
Share on other sites
vor 10 Stunden schrieb NorbertFe:

Alles nichts ungewöhnliches. Kenne genug Domains, die unter nt 4 entstanden sind und immer noch leben und gesund sind. ;)

Unsere z.B. - aber daran hast du ja auch mitgewirkt...

 

Auch ich denke, da sollte ggf. mal jemand drüber schauen, so merkwürdige Sachen sind in einem Forum sehr schwer zu klären :-)

Share this post


Link to post
Share on other sites

Moin,

 

vor 14 Stunden schrieb James_Eric:

Mein Projekt ist immer noch im Teststatus

dann wäre es schön, wenn du künftig auf solche Umstände hinweist. Ist ja schon ein Unterschied, ob das produktiv-kritisch ist oder nicht.

 

Wie Norbert auch schon andeutete (der eine, bestätigt vom anderen :lol3:), werden "Altlasten" oft überbewertet. So magisch ist das AD nun auch wieder nicht, dass man es nicht aufgeräumt oder repariert bekäme. Ein AD, das nicht ordentlich läuft, lässt sich so gut wie immer korrigieren. Das ist am Ende eine Frage des Aufwands.

 

Um hier aber am richtigen Ende anzusetzen: Was genau heißt "Teststatus"? Ist das eine produktive Umgebung oder nicht? Wäre es evtl. effizienter, das AD neu einzurichten, weil es ohnehin nicht ernsthaft verwendet wird? Oder müsste man sich darauf konzentrieren, das Vorhandene geradezubiegen?

 

Falls Letzteres, gehe ich stark davon aus, dass die Installation eines zweiten DCs in der Domäne die Stabilität des ADs herstellen würde. Dann könnte man den "alten" DC in Ruhe reparieren oder ersetzen. Es klingt für mich bis hierhin so, als läge auf der Maschine ein lokales Problem vor. Um das richtig einzuschätzen, könnte aber kompetente Unterstützung hilfreich sein, wie Norbert (der andere) auch vorschlägt.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

@SandyB

Hallo Sandy, danke für Deinen Tip. Das Tool gibt eine schöne Übersicht her.

@NilsK

Sorry, wenn meine Beschreibung zu Verwirrung führt, das war nicht meine Absicht. Es ist quasi ein Mischbetrieb von bisher "ungeregelten" Clients (etwa 300), die bisher ohne Domäne vor sich hin gewerkelt haben, und der neuen Situation, die als Folge haben soll, das diese Clients zukünfig zentral von der Domäne aus gesteuert werden können sollen (Firewallkonfiguration etc.). Diese Clients nehme ich zur Zeit pöapö (weiß nicht wie man das richtig schreibt :) in die Domäne auf (aktuell wie gesagt 77). Dadurch, das die Clients zur Erfüllung ihrer Aufgabe nicht umbeding auf die Domäne angewiesen sind, sind sie vom aktuellen Problem nur indirekt betroffen. Die Benutzer arbeiteten bisher mit lokalen Konten auf den Clients, zukünftig soll aber verstärkt auf Domänenkontos umgestellt werden. Deswegen hatte ich es "Teststatus" genannt. Der Teststatus soll fließend in den Wirkbetrieb übergehen. Und bis vor 3 Wochen sah es so aus, als würde alles reibungslos funktionieren.

 

Mein aktueller Plan sieht jetzt folgender Maßen aus: Ich konzentriere mich erst mal auf Weihnachten, dann orientiere ich mich verstärkt an Euren Vorschlägen und werde (nach dem Jahreswechsel) einen zweiten DC in der Domäne aufsetzen und schauen, ob dann das Problem weiterhin besteht. Falls die Probleme weiterhin auftreten sollten, werde ich die Domäne komplett neu machen (dann am liebsten aber direkt unter Server 2019) und die 77 Clients müssen dann eben nochmal neu eingebunden werden.

 

Ich danke Euch bis dahin für Eure Hilfe und wünsche Euch allen an dieser Stelle schon mal frohe Feiertage und einen schönen Jahreswechsel

James

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...