Jump to content

Login/GPO-Fehler, wenn dritter DC nicht am Netz


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen und danke für die Aufnahme :)

 

Habe ein schönes Problem von meinem Vorgänger geerbt und komme seit Tagen nicht weiter.

TL;DR: Wenn ich den dritten DC (keine FSMO-Rollen) temporär vom Netz nehme, gibts Probleme mit Logins (langsam) und GPO-Verteilung (geht gar nicht).

 

Hab hier eine Domäne mit einer einzelnen Site:

Es gab zwei DCs (DC1 und DC2), Win Server 2008 R2. Diese sollten vom Netz.

--> Es wurden zwei neue DCs in betrieb genommen (DC3 und DC4, MS Server 2019), alle FSMO-Rollen wurden von DC1 zu DC3 umgezogen (Schemamaster, Domänennamen-Master, PDC, RID-Pool-Manager, Infrastrukturmaster)

--> DC2 wurde abgeschaltet, DC1 hat eine neue IP erhalten (.67)

--> IPs der alten DCs wurden übernommen (DC1-->DC3, DC2-->DC4)

--> Jetzt laufen DC3, DC4 und der alte DC1, der noch vom Netz soll

--> alles funktioniert wie es soll, außer:

 

Wenn ich den noch aktiven DC1 testweise temporär vom Netz trenne: (dies sollte ja gehen, DC3 und DC4 sind ja noch da)

Login läuft sehr langsam, gpupdate /force auf dem Client schlägt fehlt:

 

Zitat

Ereignis-ID 1053:

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

 

Bisher festgestellt:

-Replication Status Tool (auf DC3) meldet keine Probleme

-DC1 (der abzuschaltende DC) per LdapSrvPriority Eintrag ein höheres Gewicht geben (1 statt 0): DNS-Eintrag wird sofort korrekt repliziert:

--> gleiches Verhalten auf dem Client (Login läuft sehr langsam, gpupdate /force auf dem Client schlägt fehlt:)

-netlogon Service auf DC1(alter DC) temporär abschalten --> gleiches Feherverhalten

-ipconfig /all: --> DNS auf dem Client hat als Einträge die IP des DC3 und DC4. DC3 hat als DNS DC4 und sich selbst eingetragen (im DC4 dementsprechend andersrum)

 

Ich hoffe das Problem wurde klar :-)

Hat jemand einen Ansatz?

 

Link zu diesem Kommentar

Danke für die Antworten bzw. Rückfragen.

Am 17.10.2020 um 23:18 schrieb daabm:

Wer ist denn auf den Clients so als DNS eingetragen? (ipconfig /all)

Und was sagt ein "nltest /dsgetdc:" (kein Tippfehler, der sinnlos wirkende Doppelpunkt am Ende gehört dazu...)

Die Clients haben als DNS den DC3 sowie DC4 eingetragen. Es gibt keinen Eintrag, der auf den (abzuschaltenden) DC1 verweist.
Als DC wird entweder DC1, DC3 oder DC4 ausgewählt (z.B. nach Neustart)
Ich kann ja auch manuell wechseln:
nltest /Server:<Clientname> /SC_RESET:<Domainname>\<DomainControllername>
Zum testen wähle ich diesmal den DC3 (DC mit FSMO-Roles)

 

Am 16.10.2020 um 13:22 schrieb lefg:

Ich meine, sowas sollte man nicht tun. Der zu entfernende DC sollte runtergestuft werden zum Member, wenn das gelungen, dann kann man den Member aus der Domäne nehmen und dann erst abschalten.

Sorry, genau das war gemeint. Es sieht aus, als wäre der DC2 herabgestuft, sauber entfernt und abgeschaltet worden. Zumindest habe ich noch keine Einträge oder Fehler entdecken können. Vom DC1 wurden wie erwähnt alle FSMO-Rollen auf den DC3 umgezogen. Das Ziel für DC1 ist ebenfalls Herabstufung, Löschung und Abschaltung.

 

Eine Grundsatzfrage zur Bestätigung: Es sollte ja grundsätzlich möglich sein einen DC, der keine FSMO-Rollen hält, einzeln temporär vom Netz zu nehmen (=Stecker ziehen) ohne Loginfehler etc. zu erhalten, richtig? Dafür haben wir ja mehrere DCs (Ausfallsicherheit).

Da es in meinem Fall nicht geht, traue ich micht nicht, einfach zu demoten. Irgendeine Abhängigkeit scheint es ja noch zu geben, diese möchte ich vorher auflösen.

Test-ADDSDomainControllerUninstallation gibts ja leider noch nicht unter Server 2008 R2

 

Am 16.10.2020 um 12:52 schrieb testperson:

Hi,

was findest du denn im Eventlog aller DCs unter "Anwendungs- und Dienstprotokolle" -> "Directory Service"; -> "DNS Server" und -> "DFS Replikation"?

Gruß

Jan

 

Test:
-->Im Client wurde der DC3 als Domaincontroller ausgewählt (siehe cmd oben)
-->Testweise den Stecker an DC1 gezogen und gpupdate /force auf einem Client ausgeführt.


Event-Log im Client:
Fehler 1053: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden [...]

Fehler 1055: Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden [...]

 

Event-Log im DC4 und DC3
Fehler 5008
The DFS Replication service failed to communicate with partner FRMPDC21 DC1 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server.
Partner DNS Address: DC1.<domänenname>
Optional data if available:
Partner WINS Address: DC1
Partner IP Address: ....67
 
The service will retry the connection periodically.
 
Additional Information:
Error: 1722 (The RPC server is unavailable.)
Connection ID: 717A4AB4-EE7F-41D0-9B47-D078C662169B
Replication Group ID: 9605C26C-67F6-4E78-960A-347270E54B80

 

Event-Log im DC1: (während vom Netz getrennt)

Fehler 5008 (DC3 und DC4 nicht gefunden)

 

 

bearbeitet von powlmowl
Link zu diesem Kommentar

  

vor 21 Minuten schrieb powlmowl:

Event-Log im DC4 und DC3
Fehler 5008
The DFS Replication service failed to communicate with partner FRMPDC21 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server.
Partner DNS Address: DC1.<domänenname>
Optional data if available:
Partner WINS Address: DC1
Partner IP Address: ....67
 
The service will retry the connection periodically.

Wer ist denn "FRMPDC21"?

Was sagt folgender Befehl auf DC3 / DC4:

net share | findstr -i -r "^NETLOGON ^SYSVOL"

Ist auf DC3/DC4 der Inhalt vorhanden / aktuell:

C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\scripts
C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\Policies

 

Link zu diesem Kommentar

Danke für eure Antworten bzw. Rückfragen. :prayer:

vor 21 Stunden schrieb lefg:

Was fällt mir ein?

Der Begriff Globaler Katalog.

Und der Befehl dcdiag.

Alle 3 DCs sind Globaler Katalog.

dcdiag auf DC3 und DC4 ausgeführt:

 

Alle Tests "passed" außer:

Starting test: DFSREvent
         There are warning or error events within the last 24 hours after the SYSVOL has been shared.  Failing SYSVOL replication problems may cause Group Policy problems.

Dies liegt vmtl an den Fehlerevents aus meinem Test von gestern Abend (DC1 Stecker gezogen + gpupdate /force auf dem Client; siehe letzter Post).

 

 

vor 21 Stunden schrieb Sunny61:

Auf jedem DC ist ja auch ein DNS-Server installiert und konfiguriert. Wie sieht dort die Konfiguration aus? Wohin zeigt die Weiterleitung im DNS von DC1, DC3 und DC4?

Active Directory Standorte und Dienste > ist hier der DC2 noch zu finden? Hast Du im DNS DC2 manuell entfernt? Findest Du DC2 wenn Du in ADUC.MSC danach suchst?

Im DNS-Manager unter GlobalNames, Forward Lookup Zones/<domainname>/_tcp usw. befinden sich nur Einträge für DC3, DC4 und DC1 (der zu entfernende DC).

Keine Einträge zu DC2 (meines Wissens wurde er bereits von meinem Vorgänger herabgestuft und aus dem AD genommen).

 

über ipconfig/all:
DC3 hat als DNS-Server den DC4 und sich selbst.
DC4 hat als DNS-Server den DC3 und sich selbst.
DC1 hat als DNS-Server den DC3 und DC4.

 

Active Directory Users and Computers:
Tatsächlich ist noch ein Eintrag für DC2 in einer OU zu finden, unter "Domain Controllers" sind aber nur DC3, DC4, DC1 (der zu entfernende DC).

Auch unter "AD Sites and Services" sind nur DC3, DC4, DC1 eingetragen.

 

 

vor 21 Stunden schrieb testperson:

  

Wer ist denn "FRMPDC21"?

Was sagt folgender Befehl auf DC3 / DC4:


net share | findstr -i -r "^NETLOGON ^SYSVOL"

Ist auf DC3/DC4 der Inhalt vorhanden / aktuell:


C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\scripts
C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\Policies

- Entschuldige, das ist der Originalname von DC1, in diesem Thread habe ich die DC-Namen vereinfacht.

- Ergebis auf DC3 und DC4:

NETLOGON     C:\Windows\SYSVOL\sysvol\<domainname>\SCRIPTS
SYSVOL       C:\Windows\SYSVOL\sysvol        Logon server share

 

Ja, das ist alles vorhanden, Änderungen werden umgehend repliziert.

 

 

bearbeitet von powlmowl
Link zu diesem Kommentar
vor 35 Minuten schrieb powlmowl:

Im DNS-Manager unter GlobalNames, Forward Lookup Zones/<domainname>/_tcp usw. befinden sich nur Einträge für DC3, DC4 und DC1 (der zu entfernende DC).

nd was findest Du in der Weiterleitung? In der DNS-Konsole Rechtsklick auf den Servernamen (alle DCs manuell überprüfen) > Eigenschaften > Weiterleitungen.

Link zu diesem Kommentar
vor 21 Minuten schrieb Sunny61:

nd was findest Du in der Weiterleitung? In der DNS-Konsole Rechtsklick auf den Servernamen (alle DCs manuell überprüfen) > Eigenschaften > Weiterleitungen.

Habe mal einen Screenshot gemacht; hoffe es ist was du meinst. Die Einträge zeigen auf unsere internen Nameserver und sind im DC3, DC4 identisch; im (zu entfernenden) DC1 gibt es nur den Eintrag mit 193.197.132.23.

dc23_forwarders.PNG

Link zu diesem Kommentar
vor 20 Stunden schrieb Sunny61:

Das meinte ich, ok, da steht dann auch nichts drin.

 

Wir der DC als DNS-Server per GPO vorgeben? Such mal in den GPOs danach.

Hierzu gibts ist keine GPO hinterlegt. Die Clients erhalten die DNS-Server-IPs per DHCP. (Und sie sind auch korrekt gesetzt, DC3 und DC4 werden eingetragen).

 

Sorry, muss meine Grundsatzfrage nochmal stellen: Im Normalfall sollte doch jeder der 3 DCs hier (temporär) ausfallen bzw. vom Netz getrennt werden können, richtig? Vor allem bei einem nicht-Master-DC.

Da es nicht geht, bzw. es Fehler erzeugt, zögere ich, den DC1 einfach runterzustufen und zu entfernen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...