DC kann nicht erreicht werden

[ckgth 0]

Habe ich jetzt.

Danach den 2. Server wieder neu in der Domain registriert.

Das hat aber auch nichts gebracht.

 

dcdiag ergibt auf dem DC nach Neustart und neu-einbinden des 2. Servers:

 

PS C:\WINDOWS\system32> dcdiag

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = WIN-VCUD5V8QVVN
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\WIN-VCUD5V8QVVN
      Starting test: Connectivity
         ......................... WIN-VCUD5V8QVVN hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Default-First-Site-Name\WIN-VCUD5V8QVVN
      Starting test: Advertising
         ......................... WIN-VCUD5V8QVVN hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... WIN-VCUD5V8QVVN hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         ......................... WIN-VCUD5V8QVVN hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         ......................... WIN-VCUD5V8QVVN hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         Warnung. Ereignis-ID: 0x80000603
            Erstellungszeitpunkt: 02/16/2026   17:50:42
            Ereigniszeichenfolge: Die Active Directory-Domänendienste konnten den softwarebasierten Datenträgerschreibungscache auf der folgenden Festplatte nicht deaktivieren.
         Warnung. Ereignis-ID: 0x80000BEB
            Erstellungszeitpunkt: 02/16/2026   17:50:43
            Ereigniszeichenfolge:
            Das Verzeichnis wurde so konfiguriert, dass bei LDAP-Add-Vorgängen keine Autorisierung pro Attribut erzwungen wird. Warnungsereignisse werden protokolliert werden, es werden jedoch keine Anforderungen blockiert.
         Warnung. Ereignis-ID: 0x80000BEE
            Erstellungszeitpunkt: 02/16/2026   17:50:43
            Ereigniszeichenfolge:
            Das Verzeichnis wurde so konfiguriert, dass implizite Besitzerberechtigungen beim anfänglichen Festlegen oder Ändern des nTSecurityDescriptor zugelassen werden. attribut während LDAP-Hinzufüge- und -Änderungsvorgängen. Warnungsereignisse werden protokolliert, aber es werden keine Anforderungen blockiert.
         Warnung. Ereignis-ID: 0x80000B46
            Erstellungszeitpunkt: 02/16/2026   17:50:53
            Ereigniszeichenfolge:
            Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
         Warnung. Ereignis-ID: 0x80000BE1
            Erstellungszeitpunkt: 02/16/2026   17:50:53
            Ereigniszeichenfolge:
            Die Sicherheit dieses Verzeichnisservers kann erheblich verbessert werden, wenn der Server so konfiguriert wird, dass er  die Validierung von empfangenen Kanalbindungstoken erzwingt, die über LDAPS-Verbindungen gesendet werden. Selbst wenn keine Clients LDAP-Bindungsanforderungen über LDAPS ausgeben, wird die Sicherheit dieses Servers verbessert,  wenn der Server so konfiguriert wird, dass er Kanalbindungstoken überprüft.
         ......................... WIN-VCUD5V8QVVN hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... WIN-VCUD5V8QVVN hat den Test KnowsOfRoleHolders bestanden.
      Starting test: MachineAccount
         ......................... WIN-VCUD5V8QVVN hat den Test MachineAccount bestanden.
      Starting test: NCSecDesc
         ......................... WIN-VCUD5V8QVVN hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         ......................... WIN-VCUD5V8QVVN hat den Test NetLogons bestanden.
      Starting test: ObjectsReplicated
         ......................... WIN-VCUD5V8QVVN hat den Test ObjectsReplicated bestanden.
      Starting test: Replications
         ......................... WIN-VCUD5V8QVVN hat den Test Replications bestanden.
      Starting test: RidManager
         ......................... WIN-VCUD5V8QVVN hat den Test RidManager bestanden.
      Starting test: Services
         ......................... WIN-VCUD5V8QVVN hat den Test Services bestanden.
      Starting test: SystemLog
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 02/16/2026   17:48:49
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer WIN-DATEV.IP-Server.local kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     6900 (C:\WINDOWS\system32\ServerManager.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 02/16/2026   17:48:49
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer WIN-DATEV.IP-Server.local kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     6900 (C:\WINDOWS\system32\ServerManager.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 02/16/2026   17:48:49
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer WIN-DATEV.IP-Server.local kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     6900 (C:\WINDOWS\system32\ServerManager.exe) angefordert.
         Fehler. Ereignis-ID: 0x0000272C
            Erstellungszeitpunkt: 02/16/2026   17:48:49
            Ereigniszeichenfolge:
            DCOM konnte über keines der konfigurierten Protokolle mit dem Computer WIN-DATEV.IP-Server.local kommunizieren. Während der Aktivierung von CLSID {8BC3F05E-D86B-11D0-A075-00C04FB68820} von PID     6900 (C:\WINDOWS\system32\ServerManager.exe) angefordert.
         Warnung. Ereignis-ID: 0x000727A5
            Erstellungszeitpunkt: 02/16/2026   17:50:08
            Ereigniszeichenfolge: Der WinRM-Dienst hört keine WS-Verwaltungsanforderungen ab.
         Warnung. Ereignis-ID: 0x80040020
            Erstellungszeitpunkt: 02/16/2026   17:50:42
            Ereigniszeichenfolge: Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten könnten beschädigt werden.
         Warnung. Ereignis-ID: 0x80040020
            Erstellungszeitpunkt: 02/16/2026   17:50:42
            Ereigniszeichenfolge: Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten könnten beschädigt werden.
         Warnung. Ereignis-ID: 0x80040020
            Erstellungszeitpunkt: 02/16/2026   17:50:42
            Ereigniszeichenfolge: Der Treiber hat festgestellt, dass auf Gerät \Device\Harddisk0\DR0 der Schreibcache aktiviert ist. Die Daten könnten beschädigt werden.
         Warnung. Ereignis-ID: 0x000003F6
            Erstellungszeitpunkt: 02/16/2026   17:50:44
            Ereigniszeichenfolge: Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.IP-Server.local., nachdem keiner der konfigurierten DNS-Server geantwortet hat.
         Warnung. Ereignis-ID: 0x000003F6
            Erstellungszeitpunkt: 02/16/2026   17:50:44
            Ereigniszeichenfolge: Zeitüberschreitung bei der Namensauflösung für den Namen wpad, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
         Warnung. Ereignis-ID: 0x000003F6
            Erstellungszeitpunkt: 02/16/2026   17:50:44
            Ereigniszeichenfolge: Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.IP-Server.local., nachdem keiner der konfigurierten DNS-Server geantwortet hat.
         Warnung. Ereignis-ID: 0x000003F6
            Erstellungszeitpunkt: 02/16/2026   17:50:45
            Ereigniszeichenfolge: Zeitüberschreitung bei der Namensauflösung für den Namen isatap.IP-Server.local, nachdem keiner der konfigurierten DNS-Server geantwortet hat.
         Warnung. Ereignis-ID: 0x800009CF
            Erstellungszeitpunkt: 02/16/2026   17:50:53
            Ereigniszeichenfolge:
            Der Serverdienst konnte die Freigabe StarMoney Business 7 nicht wiederherstellen, da das Verzeichnis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarMoney Business 7 nicht mehr vorhanden ist. Führen Sie den Befehl "net share StarMoney Business 7 /delete" aus, um die Freigabe zu löschen oder um das Verzeichnis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarMoney Business 7 zu erstellen.
         Warnung. Ereignis-ID: 0x000727AA
            Erstellungszeitpunkt: 02/16/2026   17:51:05
            Ereigniszeichenfolge: Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/WIN-VCUD5V8QVVN.IP-Server.local; WSMAN/WIN-VCUD5V8QVVN.
         Warnung. Ereignis-ID: 0x00001796
            Erstellungszeitpunkt: 02/16/2026   17:51:24
            Ereigniszeichenfolge:
            Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
         Warnung. Ereignis-ID: 0x80001145
            Erstellungszeitpunkt: 02/16/2026   17:53:31
            Ereigniszeichenfolge:
            Die Konfiguration "RequireMsgAuth" und/oder "limitProxyState" befindet sich im Modus "Disable". Diese Einstellungen sollten aus Sicherheitsgründen im Aktivierungsmodus konfiguriert werden. Weitere Informationen finden Sie unter https://support.microsoft.com/help/5040268.
         Fehler. Ereignis-ID: 0x00000709
            Erstellungszeitpunkt: 02/16/2026   17:55:44
            Ereigniszeichenfolge:
            Aktualisierte Zertifikate für den sicheren Start sind auf diesem Gerät verfügbar, wurden aber noch nicht auf die Firmware angewendet. Lesen Sie den veröffentlichten Leitfaden, um das Update abzuschließen und den vollständigen Schutz aufrechtzuerhalten. Diese Gerätesignaturinformationen sind hier enthalten.
         ......................... Der Test SystemLog für WIN-VCUD5V8QVVN ist fehlgeschlagen.
      Starting test: VerifyReferences
         ......................... WIN-VCUD5V8QVVN hat den Test VerifyReferences bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test CrossRefValidation bestanden.

   Partitionstests werden ausgeführt auf: IP-Server
      Starting test: CheckSDRefDom
         ......................... IP-Server hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... IP-Server hat den Test CrossRefValidation bestanden.

   Unternehmenstests werden ausgeführt auf: IP-Server.local
      Starting test: LocatorCheck
         ......................... IP-Server.local hat den Test LocatorCheck bestanden.
      Starting test: Intersite
         ......................... IP-Server.local hat den Test Intersite bestanden.
PS C:\WINDOWS\system32>

 

 

der DNS läuft aber auf dem DC.

bearbeitet 16. Februar von ckgth

[NorbertFe 2.374]

Es würde etwas die Leserlichkeit verbessern, wenn du deinen Screen-Output als Code formatieren würdest.

[Nobbyaushb 1.650]

Ich habe dazu Fragen:

im ersten Post schreibst du, die Clients verbinden sich per RDP mit dem DC - wozu, was machen die da mit welchen Rechten?

 

Hast du ein Systemhaus deines Vertrauens das sich das mal vor Ort anschauen könnte?

 

Ein Befall des AD kann ausgeschlossen werden?

 

Was für eine Firewall ist zwischen dem AD und der Welt?

[ckgth 0]

Hallo,

 

Ich habe jetzt auf dem proxmox einen weiteren Win2019 Server aufgesetzt (als Test) auch da kommt das Problem (Netzwerk wird nur als privat erkann). Der Fehler kann also meiner Meinung nach nur auf dem DC sein.

 

Einen Befall kann ich ausschließen.

 

Als Firewall ist ein Mikrotik-Router zwischen Aussenwelt und Server. (NAT).

 

Die RDP aind User, die auf dem 1. Server arbeiten. Normale Domainbenutzer-Rechte.

 

 

[ckgth 0]

Hallo,

 

habe eine weitere alte VM wieder auf dem Proxmox zurück gespielt (den DC).

Netzwerkkarte aber nicht verbunden.

Beim Vergleich im DNS des zurück gespielten und laufenden Servers fällt mir auf, das die eine zweite Zone (mit Domain) im laufendem erzeugt ist/wurde. Siehe dazu Bild.

 

Also beim alten DC Server, den ich zurück gespielt habe existiert nur eine Zone mit dem Servernamen (ohne Domain). Beim neuem eine Zone mit fast den identischen Einträgen aber mit Domain. Ist das evtl. falsch? Sollte ich die Zone mit der Domain daran komlett löschen? Kann ich sie vorher sichern und dann wieder einspielen? Wie?

 

 

 

[testperson 1.956]

Hi,

 

das sind nicht die Zonen. Das sind nur die Servernamen der Verbindung zum DNS. Die eigentlichen Zonen finden sich dann unter "Forward-Lookupzone" / "Reverse-Lookupzone".

 

Gruß

Jan

[ckgth 0]

Okay. 
Dann wäre es doch aber grundlegend falsch, denn ich habe ja nur den einen Server, dann wäre es doch richtig nur einen Eintrag ohne die übergeordnete Zone zu haben, oder?

[testperson 1.956]

Nein. Da wurde vermutlich mal eine Verbindung mit dem Server über den NetBIOS Namen hergestellt und dann einmal per FQDN. Nimm den, der dir nicht passt, klicke mit der rechten Maustaste drauf und wähle "löschen".