Login/GPO-Fehler, wenn dritter DC nicht am Netz

[powlmowl 0]

Hallo zusammen und danke für die Aufnahme :)

 

Habe ein schönes Problem von meinem Vorgänger geerbt und komme seit Tagen nicht weiter.

TL;DR: Wenn ich den dritten DC (keine FSMO-Rollen) temporär vom Netz nehme, gibts Probleme mit Logins (langsam) und GPO-Verteilung (geht gar nicht).

 

Hab hier eine Domäne mit einer einzelnen Site:

Es gab zwei DCs (DC1 und DC2), Win Server 2008 R2. Diese sollten vom Netz.

--> Es wurden zwei neue DCs in betrieb genommen (DC3 und DC4, MS Server 2019), alle FSMO-Rollen wurden von DC1 zu DC3 umgezogen (Schemamaster, Domänennamen-Master, PDC, RID-Pool-Manager, Infrastrukturmaster)

--> DC2 wurde abgeschaltet, DC1 hat eine neue IP erhalten (.67)

--> IPs der alten DCs wurden übernommen (DC1-->DC3, DC2-->DC4)

--> Jetzt laufen DC3, DC4 und der alte DC1, der noch vom Netz soll

--> alles funktioniert wie es soll, außer:

 

Wenn ich den noch aktiven DC1 testweise temporär vom Netz trenne: (dies sollte ja gehen, DC3 und DC4 sind ja noch da)

Login läuft sehr langsam, gpupdate /force auf dem Client schlägt fehlt:

 

  Zitat

Ereignis-ID 1053:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

Mehr  

 

Bisher festgestellt:

-Replication Status Tool (auf DC3) meldet keine Probleme

-DC1 (der abzuschaltende DC) per LdapSrvPriority Eintrag ein höheres Gewicht geben (1 statt 0): DNS-Eintrag wird sofort korrekt repliziert:

--> gleiches Verhalten auf dem Client (Login läuft sehr langsam, gpupdate /force auf dem Client schlägt fehlt:)

-netlogon Service auf DC1(alter DC) temporär abschalten --> gleiches Feherverhalten

-ipconfig /all: --> DNS auf dem Client hat als Einträge die IP des DC3 und DC4. DC3 hat als DNS DC4 und sich selbst eingetragen (im DC4 dementsprechend andersrum)

 

Ich hoffe das Problem wurde klar

Hat jemand einen Ansatz?

 

[testperson 1.790]

Hi,

 

was findest du denn im Eventlog aller DCs unter "Anwendungs- und Dienstprotokolle" -> "Directory Service"; -> "DNS Server" und -> "DFS Replikation"?

 

Gruß

Jan

[lefg 276]

  Am 16.10.2020 um 10:24 schrieb powlmowl:

DC2 wurde abgeschaltet,

Mehr  

 

Ich meine, sowas sollte man nicht tun. Der zu entfernende DC sollte runtergestuft werden zum Member, wenn das gelungen, dann kann man den Member aus der Domäne nehmen und dann erst abschalten.

 

bearbeitet 16. Oktober 2020 von lefg

[daabm 1.402]

Wer ist denn auf den Clients so als DNS eingetragen? (ipconfig /all)

Und was sagt ein "nltest /dsgetdc:" (kein Tippfehler, der sinnlos wirkende Doppelpunkt am Ende gehört dazu...)

[powlmowl 0]

Danke für die Antworten bzw. Rückfragen.

  Am 17.10.2020 um 21:18 schrieb daabm:

Wer ist denn auf den Clients so als DNS eingetragen? (ipconfig /all)

Und was sagt ein "nltest /dsgetdc:" (kein Tippfehler, der sinnlos wirkende Doppelpunkt am Ende gehört dazu...)

Mehr  

Die Clients haben als DNS den DC3 sowie DC4 eingetragen. Es gibt keinen Eintrag, der auf den (abzuschaltenden) DC1 verweist.
Als DC wird entweder DC1, DC3 oder DC4 ausgewählt (z.B. nach Neustart)
Ich kann ja auch manuell wechseln:
nltest /Server:<Clientname> /SC_RESET:<Domainname>\<DomainControllername>
Zum testen wähle ich diesmal den DC3 (DC mit FSMO-Roles)

 

  Am 16.10.2020 um 11:22 schrieb lefg:

Ich meine, sowas sollte man nicht tun. Der zu entfernende DC sollte runtergestuft werden zum Member, wenn das gelungen, dann kann man den Member aus der Domäne nehmen und dann erst abschalten.

Mehr  

Sorry, genau das war gemeint. Es sieht aus, als wäre der DC2 herabgestuft, sauber entfernt und abgeschaltet worden. Zumindest habe ich noch keine Einträge oder Fehler entdecken können. Vom DC1 wurden wie erwähnt alle FSMO-Rollen auf den DC3 umgezogen. Das Ziel für DC1 ist ebenfalls Herabstufung, Löschung und Abschaltung.

 

Eine Grundsatzfrage zur Bestätigung: Es sollte ja grundsätzlich möglich sein einen DC, der keine FSMO-Rollen hält, einzeln temporär vom Netz zu nehmen (=Stecker ziehen) ohne Loginfehler etc. zu erhalten, richtig? Dafür haben wir ja mehrere DCs (Ausfallsicherheit).

Da es in meinem Fall nicht geht, traue ich micht nicht, einfach zu demoten. Irgendeine Abhängigkeit scheint es ja noch zu geben, diese möchte ich vorher auflösen.

Test-ADDSDomainControllerUninstallation gibts ja leider noch nicht unter Server 2008 R2

 

  Am 16.10.2020 um 10:52 schrieb testperson:

Hi,

was findest du denn im Eventlog aller DCs unter "Anwendungs- und Dienstprotokolle" -> "Directory Service"; -> "DNS Server" und -> "DFS Replikation"?

Gruß

Jan

Mehr  

 

Test:
-->Im Client wurde der DC3 als Domaincontroller ausgewählt (siehe cmd oben)
-->Testweise den Stecker an DC1 gezogen und gpupdate /force auf einem Client ausgeführt.

Event-Log im Client:
Fehler 1053: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden [...]

Fehler 1055: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden [...]

 

Event-Log im DC4 und DC3
Fehler 5008
The DFS Replication service failed to communicate with partner FRMPDC21 DC1 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server.
Partner DNS Address: DC1.<domänenname>
Optional data if available:
Partner WINS Address: DC1
Partner IP Address: ....67
 
The service will retry the connection periodically.
 
Additional Information:
Error: 1722 (The RPC server is unavailable.)
Connection ID: 717A4AB4-EE7F-41D0-9B47-D078C662169B
Replication Group ID: 9605C26C-67F6-4E78-960A-347270E54B80

 

Event-Log im DC1: (während vom Netz getrennt)

Fehler 5008 (DC3 und DC4 nicht gefunden)

 

 

bearbeitet 20. Oktober 2020 von powlmowl

[lefg 276]

Was fällt mir ein?

 

Der Begriff Globaler Katalog.

 

Und der Befehl dcdiag.

[Sunny61 828]

Auf jedem DC ist ja auch ein DNS-Server installiert und konfiguriert. Wie sieht dort die Konfiguration aus? Wohin zeigt die Weiterleitung im DNS von DC1, DC3 und DC4?

 

Active Directory Standorte und Dienste > ist hier der DC2 noch zu finden? Hast Du im DNS DC2 manuell entfernt? Findest Du DC2 wenn Du in ADUC.MSC danach suchst?

[testperson 1.790]

  

  Am 19.10.2020 um 15:15 schrieb powlmowl:

Event-Log im DC4 und DC3
Fehler 5008
The DFS Replication service failed to communicate with partner FRMPDC21 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server.
Partner DNS Address: DC1.<domänenname>
Optional data if available:
Partner WINS Address: DC1
Partner IP Address: ....67
 
The service will retry the connection periodically.

Mehr  

Wer ist denn "FRMPDC21"?

Was sagt folgender Befehl auf DC3 / DC4:

net share | findstr -i -r "^NETLOGON ^SYSVOL"

Ist auf DC3/DC4 der Inhalt vorhanden / aktuell:

C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\scripts
C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\Policies

 

[powlmowl 0]

Danke für eure Antworten bzw. Rückfragen.

  Am 19.10.2020 um 15:30 schrieb lefg:

Was fällt mir ein?

Der Begriff Globaler Katalog.

Und der Befehl dcdiag.

Mehr  

Alle 3 DCs sind Globaler Katalog.

dcdiag auf DC3 und DC4 ausgeführt:

 

Alle Tests "passed" außer:

Starting test: DFSREvent
         There are warning or error events within the last 24 hours after the SYSVOL has been shared.  Failing SYSVOL replication problems may cause Group Policy problems.

Dies liegt vmtl an den Fehlerevents aus meinem Test von gestern Abend (DC1 Stecker gezogen + gpupdate /force auf dem Client; siehe letzter Post).

 

 

  Am 19.10.2020 um 15:38 schrieb Sunny61:

Auf jedem DC ist ja auch ein DNS-Server installiert und konfiguriert. Wie sieht dort die Konfiguration aus? Wohin zeigt die Weiterleitung im DNS von DC1, DC3 und DC4?

Active Directory Standorte und Dienste > ist hier der DC2 noch zu finden? Hast Du im DNS DC2 manuell entfernt? Findest Du DC2 wenn Du in ADUC.MSC danach suchst?

Mehr  

Im DNS-Manager unter GlobalNames, Forward Lookup Zones/<domainname>/_tcp usw. befinden sich nur Einträge für DC3, DC4 und DC1 (der zu entfernende DC).

Keine Einträge zu DC2 (meines Wissens wurde er bereits von meinem Vorgänger herabgestuft und aus dem AD genommen).

 

über ipconfig/all:
DC3 hat als DNS-Server den DC4 und sich selbst.
DC4 hat als DNS-Server den DC3 und sich selbst.
DC1 hat als DNS-Server den DC3 und DC4.

 

Active Directory Users and Computers:
Tatsächlich ist noch ein Eintrag für DC2 in einer OU zu finden, unter "Domain Controllers" sind aber nur DC3, DC4, DC1 (der zu entfernende DC).

Auch unter "AD Sites and Services" sind nur DC3, DC4, DC1 eingetragen.

 

 

  Am 19.10.2020 um 15:46 schrieb testperson:

  

Wer ist denn "FRMPDC21"?

Was sagt folgender Befehl auf DC3 / DC4:

net share | findstr -i -r "^NETLOGON ^SYSVOL"

Ist auf DC3/DC4 der Inhalt vorhanden / aktuell:

C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\scripts
C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\Policies

Mehr  

- Entschuldige, das ist der Originalname von DC1, in diesem Thread habe ich die DC-Namen vereinfacht.

- Ergebis auf DC3 und DC4:

NETLOGON     C:\Windows\SYSVOL\sysvol\<domainname>\SCRIPTS
SYSVOL       C:\Windows\SYSVOL\sysvol        Logon server share

 

Ja, das ist alles vorhanden, Änderungen werden umgehend repliziert.

 

 

bearbeitet 20. Oktober 2020 von powlmowl

[Sunny61 828]

  Am 20.10.2020 um 12:59 schrieb powlmowl:

Im DNS-Manager unter GlobalNames, Forward Lookup Zones/<domainname>/_tcp usw. befinden sich nur Einträge für DC3, DC4 und DC1 (der zu entfernende DC).

Mehr  

nd was findest Du in der Weiterleitung? In der DNS-Konsole Rechtsklick auf den Servernamen (alle DCs manuell überprüfen) > Eigenschaften > Weiterleitungen.

[powlmowl 0]

  Am 20.10.2020 um 13:36 schrieb Sunny61:

nd was findest Du in der Weiterleitung? In der DNS-Konsole Rechtsklick auf den Servernamen (alle DCs manuell überprüfen) > Eigenschaften > Weiterleitungen.

Mehr  

Habe mal einen Screenshot gemacht; hoffe es ist was du meinst. Die Einträge zeigen auf unsere internen Nameserver und sind im DC3, DC4 identisch; im (zu entfernenden) DC1 gibt es nur den Eintrag mit 193.197.132.23.

[Sunny61 828]

Das meinte ich, ok, da steht dann auch nichts drin.

 

Wir der DC als DNS-Server per GPO vorgeben? Such mal in den GPOs danach.

[powlmowl 0]

  Am 20.10.2020 um 14:42 schrieb Sunny61:

Das meinte ich, ok, da steht dann auch nichts drin.

 

Wir der DC als DNS-Server per GPO vorgeben? Such mal in den GPOs danach.

Mehr  

Hierzu gibts ist keine GPO hinterlegt. Die Clients erhalten die DNS-Server-IPs per DHCP. (Und sie sind auch korrekt gesetzt, DC3 und DC4 werden eingetragen).

 

Sorry, muss meine Grundsatzfrage nochmal stellen: Im Normalfall sollte doch jeder der 3 DCs hier (temporär) ausfallen bzw. vom Netz getrennt werden können, richtig? Vor allem bei einem nicht-Master-DC.

Da es nicht geht, bzw. es Fehler erzeugt, zögere ich, den DC1 einfach runterzustufen und zu entfernen.

[lefg 276]

Einer meiner Hauptverdächtigen ist erstmal immer der DNS, sind es die DNS. Deshalb möchte ich danach fragen: Als was sind die DNS konfiguriert? In Windows Domänen wird/werden üblicherweise AD-integrierter DNS verwendet. Ist das so, sind es AD-integrierte DNS? Oder nicht?

bearbeitet 21. Oktober 2020 von lefg

[daabm 1.402]

Vielleicht hilft das für das Lokalisieren des Problems: https://blogs.msmvps.com/acefekay/category/dc-locator-process/

Und ja, wenn kein DC gefunden wird, ist es eigentlich immer ein DNS-Problem.