117867
Sep 15, 2014, updated at Sep 29, 2014 (UTC)
9598
11
0
Clients wechseln automatisch von Domäne zu Arbeitsplatznetzwerk
Hallo zusammen
Ich schlage mich seit geraumer Zeit mit folgendem Problem:
In einem Domänennetzwerk wechseln einige Clients von selbst von der Domäne zum Arbeitsplatznetzwerk.
Das ganze sieht so aus, dass betroffene Clients manuell in die Domäne aufgenommen werden
(Rechtsklick auf Computer --> Eigenschaften --> Domäne eintragen --> OK --> Neustart)
Bei der Erstanmeldung in die Domäne ist noch alles i.O. Man kann sich mit einem Domänenbenutzer anmelden, Policies werden gezogen, Share werden gemountet, Profiles werden gesynct, Outlook wird anhand des Benutzers automatisch konfiguriert usw.
Beim nächsten der übernächsten Anmelden, treten dann erste Probleme auf. So werden z.B. die Policies plötzlich nicht mehr gezogen, der Client kann nicht mehr mittels PING erreicht werden (obwohl dieser eindeutig im Netzwerk mit gültiger IP, Subnet, DNS und Gateway vorhanden ist), RDP funktioniert nur sporadisch usw
Wir fanden raus, dass diese Clients sich nicht mehr in der Domäne befinden: Klickt man im Infobereich der Taskleiste auf das Netzwerksymbol, wird dort nicht wie erwartet "Domäne.local" angezeigt, sonder Arbeitsplatznetzwerk.
Der DC ist ein Windows SBS 2011 (VM auf einem ESXi 5.1.0)
Das Problem trat erstamls auf, nachdem wir einen neuen Server (VM) in die Domäne aufgenommen haben. Dieser wurde wieder aus der Domäne entfernt (besteht jedoch noch und wird produktiv genutzt), das Problem besteht jedoch weiterhin. Auf dem neuen Server läuft Veeam Backup.
Was mir auch noch aufgefallen ist: Die SBS Konsole crasht nach wenigen Minuten, wenn man im Tab "Netzwerk" ist (passierte vorher auch nicht).
Mit den Clients kann man sich nach wie vor anmelden und arbeiten, jedoch werden gewisse Sachen aufgrund der Windows Firewall Einstellungen beeiniträchtigt (wie z.B. das ziehen der Policies)
Bin für jeden Rat Dankbar. Ich hab gegooglet, geforumt und mit Kollegen und Freunden über das Thema gesprochen, jedoch bleibt die Ursache unklar.
EDIT: Ich vergass zu erwähnen, dass der Server, welcher neu in die Domäne aufgenommen wurde, ein 2012 R2 ist
Ich schlage mich seit geraumer Zeit mit folgendem Problem:
In einem Domänennetzwerk wechseln einige Clients von selbst von der Domäne zum Arbeitsplatznetzwerk.
Das ganze sieht so aus, dass betroffene Clients manuell in die Domäne aufgenommen werden
(Rechtsklick auf Computer --> Eigenschaften --> Domäne eintragen --> OK --> Neustart)
Bei der Erstanmeldung in die Domäne ist noch alles i.O. Man kann sich mit einem Domänenbenutzer anmelden, Policies werden gezogen, Share werden gemountet, Profiles werden gesynct, Outlook wird anhand des Benutzers automatisch konfiguriert usw.
Beim nächsten der übernächsten Anmelden, treten dann erste Probleme auf. So werden z.B. die Policies plötzlich nicht mehr gezogen, der Client kann nicht mehr mittels PING erreicht werden (obwohl dieser eindeutig im Netzwerk mit gültiger IP, Subnet, DNS und Gateway vorhanden ist), RDP funktioniert nur sporadisch usw
Wir fanden raus, dass diese Clients sich nicht mehr in der Domäne befinden: Klickt man im Infobereich der Taskleiste auf das Netzwerksymbol, wird dort nicht wie erwartet "Domäne.local" angezeigt, sonder Arbeitsplatznetzwerk.
Der DC ist ein Windows SBS 2011 (VM auf einem ESXi 5.1.0)
Das Problem trat erstamls auf, nachdem wir einen neuen Server (VM) in die Domäne aufgenommen haben. Dieser wurde wieder aus der Domäne entfernt (besteht jedoch noch und wird produktiv genutzt), das Problem besteht jedoch weiterhin. Auf dem neuen Server läuft Veeam Backup.
Was mir auch noch aufgefallen ist: Die SBS Konsole crasht nach wenigen Minuten, wenn man im Tab "Netzwerk" ist (passierte vorher auch nicht).
Mit den Clients kann man sich nach wie vor anmelden und arbeiten, jedoch werden gewisse Sachen aufgrund der Windows Firewall Einstellungen beeiniträchtigt (wie z.B. das ziehen der Policies)
Bin für jeden Rat Dankbar. Ich hab gegooglet, geforumt und mit Kollegen und Freunden über das Thema gesprochen, jedoch bleibt die Ursache unklar.
EDIT: Ich vergass zu erwähnen, dass der Server, welcher neu in die Domäne aufgenommen wurde, ein 2012 R2 ist
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 249224
Url: https://administrator.de/contentid/249224
Printed on: April 19, 2024 at 12:04 o'clock
11 Comments
Latest comment
Sagt der Ereignislos beim Start des Systems etwas z.B. das bestimmte GPO's nicht gezogen werden? Falls ja steht der Grund mit dabei
Danke für deine Antwort.
Leider gehen die Einträge nicht bis zum letzten Systemstart zurück. Der nächste erfolgt jedoch dieses Wochenende, dann kann ich dir mehr sagen
Leider gehen die Einträge nicht bis zum letzten Systemstart zurück. Der nächste erfolgt jedoch dieses Wochenende, dann kann ich dir mehr sagen
Guten Abend,
ich denke der Fehler ist im Netzwerk vergraben. Alle schon der Hinweis dass Ping und RDP nur manchmal funktionieren, heißt nix gutes.
Bitte poste deine Netzwerkstruktur samt IP-Adressen, Gateways, Subnetmasken. Gerne keine Orginaldaten posten.
Wie sind ESXi, Clients, etc... ans Netzwerk angebunden. Wird Spanning Tree, Trunks, etc... verwendet?
Gruß,
Dani
ich denke der Fehler ist im Netzwerk vergraben. Alle schon der Hinweis dass Ping und RDP nur manchmal funktionieren, heißt nix gutes.
Bitte poste deine Netzwerkstruktur samt IP-Adressen, Gateways, Subnetmasken. Gerne keine Orginaldaten posten.
Wie sind ESXi, Clients, etc... ans Netzwerk angebunden. Wird Spanning Tree, Trunks, etc... verwendet?Gruß,
Dani
Der Fehler ist sogar ziemlich sicher irgendwo im Netzwerk vergraben. Ich vermute, dass der DNS irgendwie beeinträchtigt wurde, als der Backup Server zur Domäne hinzugefügt wurde. Ich sah kürzlich im DNS Eventlog den folgenden Eintrag:
"Der DNS-Server konnte den Socket für die Adresse <eine IPv6 Adresse> nicht öffnen"
Wenn ich diese Adresse mit -a Pinge stelle ich fest, dass es die Adresse des DC ist.
Wenn ich den BPA auf den DC laufen lasse, bringt er einen Fehler "DNS client is not configured". Ich liess den BPA vor dieser ganzen Geschichte laufen, ohne Fehlermeldungen zu erhalten.
Auf dem Backup Server wurden weder DHCP noch DNS als Rolle installiert oder konfiguriert. Lediglich die beiden Dienste DNS-Client und DHCP-Client werden ausgeführt.
Bis ich das gesamte Netzwerk zusammengetragen und gepostet habe, könnte es noch etwas dauern. Bei diesem Kunden wurde scheinbar von Anfang an gebastelt und im Laufe der Zeit so ziemlich alles "verschlimmbessert"
Ich bin dran nach und nach eine Dokumentation der Kundenumgebung zu erstellen (inkl. IP-Konzept und Netzwerkplan)
Am Samstag (20. Sep) werden wir die gesamte Umgebung generalüberholen (Vermutlich werde ich bei dieser Gelegenheit den DNS gleich neu konfigurieren).
"Der DNS-Server konnte den Socket für die Adresse <eine IPv6 Adresse> nicht öffnen"
Wenn ich diese Adresse mit -a Pinge stelle ich fest, dass es die Adresse des DC ist.
Wenn ich den BPA auf den DC laufen lasse, bringt er einen Fehler "DNS client is not configured". Ich liess den BPA vor dieser ganzen Geschichte laufen, ohne Fehlermeldungen zu erhalten.
Auf dem Backup Server wurden weder DHCP noch DNS als Rolle installiert oder konfiguriert. Lediglich die beiden Dienste DNS-Client und DHCP-Client werden ausgeführt.
Bis ich das gesamte Netzwerk zusammengetragen und gepostet habe, könnte es noch etwas dauern. Bei diesem Kunden wurde scheinbar von Anfang an gebastelt und im Laufe der Zeit so ziemlich alles "verschlimmbessert"
Ich bin dran nach und nach eine Dokumentation der Kundenumgebung zu erstellen (inkl. IP-Konzept und Netzwerkplan)
Am Samstag (20. Sep) werden wir die gesamte Umgebung generalüberholen (Vermutlich werde ich bei dieser Gelegenheit den DNS gleich neu konfigurieren).
Mahlzeit
Wie viele Einträge hat denn so ein Client, wenn diese nicht bis zum letzten Systemstart zurückreichen?
Zitat von @117867:
Leider gehen die Einträge nicht bis zum letzten Systemstart zurück. Der nächste erfolgt jedoch dieses Wochenende,
dann kann ich dir mehr sagen
Leider gehen die Einträge nicht bis zum letzten Systemstart zurück. Der nächste erfolgt jedoch dieses Wochenende,
dann kann ich dir mehr sagen
Wie viele Einträge hat denn so ein Client, wenn diese nicht bis zum letzten Systemstart zurückreichen?
Wir fanden raus, dass diese Clients sich nicht mehr in der Domäne befinden: Klickt man im Infobereich der Taskleiste auf das Netzwerksymbol, wird dort nicht wie erwartet "Domäne.local" angezeigt, sonder Arbeitsplatznetzwerk.
Ob sich der Client in der Domäne befindet und ob ein Domänenbenutzer angemeldet ist, zeigt aber nicht das Infosymbol des Netzwerkes im Systemtray.
Hallo Goscho
Wie viele Einträge hat denn so ein Client, wenn diese nicht bis zum letzten Systemstart zurückreichen?
Der Server ist gemeintOb sich der Client in der Domäne befindet und ob ein Domänenbenutzer angemeldet ist, zeigt aber nicht das Infosymbol des
Netzwerkes im Systemtray.
Wenn sich ein Client in einer Domäne befindet, wird das bei einem klick auf das Netzwerksymbol im Infobereich der Taskleiste entsprechend angezeigt (siehe Screenshot)Netzwerkes im Systemtray.
Zitat von @117867:
Hallo Goscho
> Wie viele Einträge hat denn so ein Client, wenn diese nicht bis zum letzten Systemstart zurückreichen?
Der Server ist gemeint
Die GPOs werden aber vom Client gezogen (oder eben nicht) und das wird am Client in die Logs geschrieben, ziemlich ausführlich.Hallo Goscho
> Wie viele Einträge hat denn so ein Client, wenn diese nicht bis zum letzten Systemstart zurückreichen?
Der Server ist gemeint
> Ob sich der Client in der Domäne befindet und ob ein Domänenbenutzer angemeldet ist, zeigt aber nicht das
Infosymbol des
> Netzwerkes im Systemtray.
Wenn sich ein Client in einer Domäne befindet, wird das bei einem klick auf das Netzwerksymbol im Infobereich der Taskleiste
entsprechend angezeigt (siehe Screenshot)
Das heißt aber noch lange nicht, dass man deshalb Mitglied dieser Domäne ist, sondern nur, dass ein DC dieser Domäne der primäre DC für diese Netzwerkverbindung ist. Wenn ich mich mit meinem Notebook in einem Kundennetzwerk befinde, steht dort als Netzwerktyp "Kunde.local". Deshalb bin ich doch nicht Mitglied der Domäne meines Kunden.Infosymbol des
> Netzwerkes im Systemtray.
Wenn sich ein Client in einer Domäne befindet, wird das bei einem klick auf das Netzwerksymbol im Infobereich der Taskleiste
entsprechend angezeigt (siehe Screenshot)
Ebenso wenig werden die PCs, die die Probleme verursachen, aus der Domäne geflogen sein.
Vermutlich wird bei den Domänenmitgliedern, die die GPOs nicht ziehen ein falscher DNS-Server stehen (eventuell der Router).
Das heißt aber noch lange nicht, dass man deshalb Mitglied dieser Domäne ist, sondern nur, dass ein DC dieser
Domäne der primäre DC für diese Netzwerkverbindung ist.
Genau da liegt ja das Problem: Die clients erkennen die Domäne scheinbar nicht und benutzen stattdessen das Netzwerkprofil "Arbeitsplatznetzwerk" anstatt das der Domäne. Das Anmelden an die Domäne funktioniert ja (<kunde>.local\<User>). Nur wird dann alles beeinträchtigt, was in Konflikt mit den Einstellungen des Netzwerkprofils steht (z.B. RDP, GPOs...)Domäne der primäre DC für diese Netzwerkverbindung ist.
Vermutlich wird bei den Domänenmitgliedern, die die GPOs nicht ziehen ein falscher DNS-Server stehen (eventuell der Router).
Das etwas mit dem DNS faul ist, vermute ich auch. Da wir am Samstag das Netzwerk des Kunden generalüberholen, habe ich mich nochmals über die DNS Konfiguration der Kundenumgebung hergemacht. Die Einstellungen der DNS-Rolle des Servers sehen genau so aus, wie vor dem Auftreten des Problems und scheinen grundsätzlich ok zu sein. Die Konfiguration des ESX hingegen sieht mehr als merkwürdig aus:
Die Domäne <nichtkunde>.local ist unsere eigene (WTF?!?). Meines Wissens bestehen zwischen unserer Domäne und der des Kunden keine Physischen oder virtuellen Verbindungen, also auch kein VPN. Der Kundenserver steht zwar in unserem Serverraum, jedoch in einem komplett anderen Netzwerk. Wir teilen uns auch keine Geräte, wie Firewall oder Switch. Nicht einmal die USV ist dieselbe. Die Geräte des Kunden stehen alle in einem eigenen Rack. Vielleicht hat jemand mal etwas falsch gepatcht? Schätze ich verbringe den heutigen Nachmittag mit dem Verfolgen der Patchkabel in unserem Serverraum... Sonst noch jemand eine Idee wie so etwas passieren könnte?
War gestern noch beim Kunden um einen Blick auf einen betroffenen Rechner zu werfen. laut IPCONFIG /ALL ist der primäre DNS der richtige.
Bin kurz vor dem Aufgeben... Habe in den letzten Tagen dieses Problem wieder und wieder analysiert, ohne auf eine Lösung zu kommen...
- DNS wurde komplett neu konfiguriert (inkl. IPCONFIG /REGISTERDNS)
- Kabel wurden alle geprüft
- Die oben erwähnten Einstellungen auf dem ESXi Host wurden angepasst (so dass nur die Domäne des Kunden konfiguriert ist)
- Sämtliche Updates wurden gemacht
- Vorhandene Snapshots wurden konsolidiert (nicht, dass dort die Ursache liegen würde aber Snapshots, welche über 1 Jahr alt sind, sollten gelöscht werden)
- Reverse Lookup Zone für IPv6 haben wir auch erstellt und konfiguriert.
- Habe auch die GPOs geprüft, um sicherzustellen, dass die Clients nicht dadurch "gezwungen" werden, beim Neustart das Netzwerkprofil zu ändern
- Während all diesen Tasks wurde der Server immer wieder rebootet
Leider hat nichts auch nur eine kleine Verbesserung gebracht (abgesehen von der etwas besseren Performance)
- DNS wurde komplett neu konfiguriert (inkl. IPCONFIG /REGISTERDNS)
- Kabel wurden alle geprüft
- Die oben erwähnten Einstellungen auf dem ESXi Host wurden angepasst (so dass nur die Domäne des Kunden konfiguriert ist)
- Sämtliche Updates wurden gemacht
- Vorhandene Snapshots wurden konsolidiert (nicht, dass dort die Ursache liegen würde aber Snapshots, welche über 1 Jahr alt sind, sollten gelöscht werden)
- Reverse Lookup Zone für IPv6 haben wir auch erstellt und konfiguriert.
- Habe auch die GPOs geprüft, um sicherzustellen, dass die Clients nicht dadurch "gezwungen" werden, beim Neustart das Netzwerkprofil zu ändern
- Während all diesen Tasks wurde der Server immer wieder rebootet
Leider hat nichts auch nur eine kleine Verbesserung gebracht (abgesehen von der etwas besseren Performance)
Ich vergass zu erwähnen, dass der Server, welcher neu in die Domäne aufgenommen wurde, ein 2012 R2 ist
