Jump to content

Kein Computerkonto wenn DC ausfällt?


Recommended Posts

Hallo,

ich bin gerade dabei mit 2 Win2019 Servern ein Active Directory für ein Institut aufzubauen. Ich habe einen DC installiert und dann die AD Dienste Rollen. Dann den zweiten DC. Jetzt ist durch einen Stromausfall der erste DC ausgefallen während ich Client-PCs in die Domain aufgenommen habe. Aufgefallen ist mir das nach dem ersten Neustart des Clients als bei der Benutzeranmeldung folgende Fehlermeldung kam: Die Sicherheitsdatenbank auf dem Server enthält kein Computerkonto für diese Arbeitsstationsvertrauensstellung. Ich kann den Benutzer nicht anlegen. Ich habe dann den ersten DC wieder eingeschaltet und das Computerkonto wurde auch vom zweiten DC repliziert. Leider klappt die Anmeldung immer noch nicht.

Daher die Frage ist das "normal" so oder ist irgendetwas an meinem AD nicht in Ordnung? Vielen Dank für Eure Hilfe!

Link to post
vor 10 Stunden schrieb TimS:

Jetzt ist durch einen Stromausfall der erste DC ausgefallen während ich Client-PCs in die Domain aufgenommen habe.

Erster Fehler: Kein USV am DC angeschlossen.

 

vor 10 Stunden schrieb TimS:

Ich kann den Benutzer nicht anlegen. Ich habe dann den ersten DC wieder eingeschaltet und das Computerkonto wurde auch vom zweiten DC repliziert. Leider klappt die Anmeldung immer noch nicht.

Was möchtest Du genau machen? Einen neuen Benutzer im AD anlegen oder einen bestehenden Benutzer am PC anmelden? Das wurde mir aus deiner Frage nicht klar.

Link to post
vor 2 Stunden schrieb NilsK:

Moin,

 

und beachte, dass die Redundanz des AD entscheidend von der DNS-Konfiguration abhängt.

 

Als Einstieg:

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Gruß, Nils

 

Vielen Dank für den Hinweis! Bei uns ist es leider so, das der DNS extern vom Rechenzentrum betrieben wird. Ich habe dort die SRV-Records vom Domaincontroller zugefügt. Es geht nur so oder gar nicht. Scheint auch alles zu funktionieren.

vor 2 Stunden schrieb Sunny61:

Erster Fehler: Kein USV am DC angeschlossen.

 

Was möchtest Du genau machen? Einen neuen Benutzer im AD anlegen oder einen bestehenden Benutzer am PC anmelden? Das wurde mir aus deiner Frage nicht klar.

Ich habe einen PC an der Domain angemeldet. Das hat funktioniert. Dann habe ich den Client neu gestartet und wollte mich mit einem Benutzer anmelden. Das hat erstmal sehr lange gedauert aber sogar das obligatorische Ändern des Passwortes hat funktioniert. Danach ging es aber nicht weiter. Als der erste DC dann wieder online war klappte es weiter nicht.

 

Meine Frage ist also ob es generell nicht funktioniert einen Client zur Domain hinzuzufügen wenn der erste DC offline ist? Muss ich jetzt den Client aus der Domain entfernen und neu hinzufügen? 

Link to post

Moin,

 

vor 13 Minuten schrieb TimS:

Ich habe dort die SRV-Records vom Domaincontroller zugefügt

von "dem"? Oder von beiden?

Die Clients müssen alle DCs finden können. Dazu müssen die DCs alle korrekt im DNS stehen. Und die Clients müssen wissen, dass sie dort nachsehen müssen.

 

Das mit dem externen DNS hat man an Unis immer wieder. Es ist in Wirklichkeit praktisch nie nötig. Hier würde ich eine Klärung empfehlen, ob sich die DNS-Domain nicht auf die Windows-Server (also die DCs/DNS-Server) delegieren lässt. Das macht alles viel einfacher und flexibler.

Falls das wirklich nicht geht, dann müssen die Einträge im BIND eben manuell gepflegt werden. Dann musst du dir jeweils Zeit für das Troubleshooting nehmen.

 

Gruß, Nils

 

Link to post
vor 16 Minuten schrieb NilsK:

Moin,

 

von "dem"? Oder von beiden?

Die Clients müssen alle DCs finden können. Dazu müssen die DCs alle korrekt im DNS stehen. Und die Clients müssen wissen, dass sie dort nachsehen müssen.

 

Das mit dem externen DNS hat man an Unis immer wieder. Es ist in Wirklichkeit praktisch nie nötig. Hier würde ich eine Klärung empfehlen, ob sich die DNS-Domain nicht auf die Windows-Server (also die DCs/DNS-Server) delegieren lässt. Das macht alles viel einfacher und flexibler.

Falls das wirklich nicht geht, dann müssen die Einträge im BIND eben manuell gepflegt werden. Dann musst du dir jeweils Zeit für das Troubleshooting nehmen.

 

Gruß, Nils

 

Die SRV-Records von beiden DCs. Funktioniert auch alles wunderbar. Passwörter, Benutzer,... wird alles synchronisiert.

Das HRZ argumentiert so: wir machen das mit allen zentralen, wichtigen Diensten. Dann kann auch nix schief gehen. Eine Domain bieten sie aber nicht. Das müssen alle Institute selber machen. Ich habe alles selber rausfinden müssen wie die Domain mit externem DNS funktioniert. Aber ich möchte halt unbedingt eine Domain. Wie sollen sonst mehr als 50 PCs sinnvoll verwaltet werden?

Sobald aber jetzt Fehler auftreten weiß ich erstmal nicht ob es am externen DNS liegt oder nicht...

Ich dachte aber immer bei 2 DCs ist es egal wenn einer ausfällt. Gibt es eine Erklärung für mein Problem: Hinzufügen eines Clients zur Domain wenn der erste DC offline ist?

Link to post

Moin,

 

vor 12 Minuten schrieb TimS:

Gibt es eine Erklärung für mein Problem: Hinzufügen eines Clients zur Domain wenn der erste DC offline ist?

gibt es bestimmt, aber über ein Forum wird das schwierig. Zumal unter den Umgebungsbedingungen.

 

Fast immer liegt sowas an DNS. Der Klassiker: Beim Client ist nur ein DNS-Server eingetragen, und der läuft auf dem ausgefallenen DC.

In deinem Fall könnte es z.B. sein, dass der DNS-Server dem Client immer nur den Eintrag des ausgefallenen DCs zurückgibt. Das ist eben eine der Stellen, wo es mit dem Troubleshooting dann schwer wird, weil die typischen Annahmen nicht zutreffen. 

 

Gruß, Nils

 

Link to post
vor 29 Minuten schrieb TimS:

Das HRZ argumentiert so: wir machen das mit allen zentralen, wichtigen Diensten.

Tun sie ja bei Nils Argumentation auch. Sie delegieren es an deine DCs. Und wenn _diese_ DCs nicht da sind, kann das HRZ machen mit ihrer Namensauflösung was sie wollen, es wird trotzdem nix funktionieren. Ich kann Nils' Erfahrung in dem Umfeld nur bestätigen.

Link to post

Hallo,

ich habe jetzt mit verschiedenen Tests das Active Directory und den DNS-Server und die Replikation überprüft. Alles fehlerfrei.

Es hatte auch scheinbar gar nichts mit dem ausgfallenen DC1 zu tun.

Wenn ich einen Client in die Domain aufnehme und ich dann nach einem Neustart mit einem Domain-Benutzer anmelde erscheint folgende Fehlermeldung:

https://ibb.co/fX1xYYd

Der Client wird in die Domain aufgenommen: Willkommen

dannach

https://ibb.co/SrNsnxV

Fehler beim Ändern des DNS-Namens... RPC-Server nicht verfügbar

und bei der Anmeldung an den Client

https://ibb.co/34PQnv7

Sicherheitsdatenbank auf dem Server enthält kein Computerkonto

 

Hat jemand eine Idee an welcher Stelle ich den Fehler suchen könnte? Vielen Dank!

Edited by TimS
Link to post

Ja, das hat Dir Nils oben schon geschrieben. Sind die IPs deiner DCs beim Client als primärer und sekundärer DNS-Server eingetragen und KEIN Anderer?

 

Am 2.9.2021 um 12:56 schrieb NilsK:

Fast immer liegt sowas an DNS. Der Klassiker: Beim Client ist nur ein DNS-Server eingetragen, und der läuft auf dem ausgefallenen DC.

In deinem Fall könnte es z.B. sein, dass der DNS-Server dem Client immer nur den Eintrag des ausgefallenen DCs zurückgibt. Das ist eben eine der Stellen, wo es mit dem Troubleshooting dann schwer wird, weil die typischen Annahmen nicht zutreffen. 

 

Edited by MurdocX
Link to post
Am 5.9.2021 um 16:19 schrieb MurdocX:

Ja, das hat Dir Nils oben schon geschrieben. Sind die IPs deiner DCs beim Client als primärer und sekundärer DNS-Server eingetragen und KEIN Anderer?

 

 

Nein, die DCs sind ja gar keine DNS-Server.

Ich verstehe das nicht. Wenn dcdiag KEINE Fehler meldet. Was soll diese Fehlermeldung mit dem RPC?

Was ist Windows, Active Directory das man einen Fehler nicht finden kann. Verstehe ich nicht.

Link to post
vor 4 Stunden schrieb NorbertFe:

Wäre aber praktischer. Denn dann würden sich solche Fragen gar nicht stellen. Das war Nils' und mein Hinweis.

Das habe ich ja verstanden! Es geht bei uns an der Universität aber nicht. Und ich möchte trotzdem ein AD nutzen. Ich frage mich nur WARUM sich nicht herausfinden lässt WO der Fehler ist. Irgendwo müsste es doch eine Logdatei geben - wie unter Linux - wo genau drin steht was da schief läuft während der Client in die Domain aufgenommen wird???

Gerade eben schrieb Nobbyaushb:

Ganz einfach nach Best Practice bauen...

Und wenn das nicht geht? Es wird doch sicher grosse Netze geben wo eben der DC nicht auch der DNS-Server ist. 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...