Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage an AD-Profis zu grundsätzlichem (Verständnis-)Problem bei Benutzer-Authentifizierungsanfragen in Domänen mit 2-Domänencontroller

Frage Microsoft Windows Server

Mitglied: azubaer

azubaer (Level 2) - Jetzt verbinden

19.01.2011 um 01:06 Uhr, 4206 Aufrufe, 8 Kommentare

Was muss man genau beachten, damit in einer Domäne mit 2 Domänencontrollern, beide DCs voll funktionsfähig sind und beide Benutzer-Authentifizierungsanfragen korrekt beantworten?

Hallo zusammen,

also, ich habe schon die ein oder andere Domäne mit Exchange Server und Co. installiert. In den meisten Fällen waren es kleine Umgebungen mit nur zwei DCs.
Mir fällt auf, dass ich in einer Domäne mit 2 DCs ich ständig Probleme mit der Benutzerauthentifizierung habe, wenn der primäre DC (also derjenige auf dem das Active Directory zuerst installiert wurde und der Träger aller FSMO-Rollen ist) offline ist und nur noch der zweite DC online ist, der aber keine Rolle inne hat. Beide Server sind aber als Globaler Katalog. Trotzdem können sich etwa Benutzer am Webmailer oder Administratoren an den Servern nur dann anmelden, wenn der "primäre DC" mit allen Rollen online ist.

Gibt es für dieses Verhalten eine Erklärung? Habe ich hier eine essentielle Wissenslücke? Fehlt eine bestimmte Konfiguration oder gibt es in dieser 2-DC-Konstellation etwas besonderes zu beachten?
Meines Wissens nach werden die FSMO Rollen nur bei "größeren" Änderungen am AD gebraucht (etwa das Anlegen (vieler) neuer Objekte, Ändern der Betriebsmaster, Schemaerweiterungen, etc).
Ich beobachte das Problem auch nicht nur in einer Umgebung sondern in vielen. (beispielsweise 2003 als auch 2008 R2 Domäne).
Alle Server sind physikalisch und laufen auf Windows Server 2008 R2.

Hat jemand dieses Phänomen schonmal beobachtet?
Die Ereignisprotokolle geben für mein Verständnis keinen konkreten Hinweiß auf AD-Probleme - die Replikationen des AD funktionieren problemlos (GPOs werden beispielsweise problemlos repliziert).

Ich habe echt keine Ahnung woran das liegen könnte...

Ich freu mich auf eure Ideen - bin für jede gute Idee!

Greetz
Martin
Mitglied: lenny4me
19.01.2011 um 07:26 Uhr
Hallo,

Grundsätzlich sollte die Anmeldung weiterhin möglich sein. Nur bei einer längeren Offlinezeit könntest du Probleme bekommen. Wir haben hier ein paar DC's mehr aber mehr FSMO roles haben wir ja auch nicht.
Welche Meldung bekommst du denn, wenn du dich anmelden willst und der PDC offline ist?

Grüße Lenny
Bitte warten ..
Mitglied: DerWoWusste
19.01.2011 um 08:31 Uhr
Haben die Clients denn auch den 2. DC als DNS-Server eingetragen? Das ist notwendig.
Wir hatten gerade erst durch Hardwareausfall eine längere Downtime des DCs, keine Probleme mit dem zweiten (beide 2008).
Bitte warten ..
Mitglied: jonny83
19.01.2011 um 08:45 Uhr
die Clients melden sich doch immer bei dem ersten DNS Server der ihnen eingetragen ist. Wenn der DNS dem Client dann sagt das der DC1 für ihn als Anmeldeserver dient sucht der Client ´türlich auch nach dem.
Ist der nun nicht vorhanden braucht der Client eine Weile bis er auch schnallt - "frag noch Mal beim DNS nach welcher denn noch Anmeldeserver ist"

Das Problem kenne ich auch - wenn ich einen DC runterfahre braucht meine XP Maschine recht lange bis ich mich wieder anmelden kann. Meist muss ich es 3-4-5 mal versuchen bis meine Anmeldung wieder funktioniert.

Theoretisch sollte es also funktionieren ein ipconfig /flushdns zu starten und dann noch Mal prüfen an welchem DC ich nun angemeldet bin.

Also - DC aus - flushdns - PC neustarten - anmelden. Habe ich selbst noch nie getestet aber würde vielleicht Sinn machen ...
Bitte warten ..
Mitglied: azubaer
19.01.2011 um 11:11 Uhr
Hi,

ich danke dir für deine Antwort!
Wenn ich mich anmelden möchte wartet man einfach nur: Der user beim Webaccess wartet und wartet und bekommt irgendwann vermutlich nen Abbruch durch einen Timeout. Bei Clients steht einfach nur ewig "Willkommen". Erst wenn der primäre DC wieder da ist, klappt der Login wieder. Im eventlog steht, dass kein Anmeldeserver zum Verarbeiten der Logindaten zur Verfügung stand.

Paradoxerweise meine ich, dass es aber schonmal funktioniert hat. Ich erinnere mich, dass der erste Login am Webmailer dann auch ungewöhnlich lange dauerte, es aber nach einer zeit klappte. Danach konnten weitere Clients sich wieder zügig anmelden.

Wir haben unsere ganze umgebung auch als testumgebung virtualisiert. Vielleicht macht es Sinn einmal testen, ob das Problem auch virtuell besteht...

Gruß
Martin
Bitte warten ..
Mitglied: azubaer
19.01.2011 um 11:13 Uhr
Hi,

ich danke auch dir für deine Antwort!
Ein zweiter DC ist vorhanden und auch überall eingetragen.

Hat deine Umgebung denn die gleiche Konstellation wie unsere? (beide GC? hat auch nur ein DC hat alle Rollen?)

Ich meine, dass es irgendwo mal ein Best Practise gab, wo man bestimmte Rollenverteilungen auf einer Domäne mit 2 DCs einhalten soll, die beide Globaler Katalog sind.

Gruß
Martin
Bitte warten ..
Mitglied: azubaer
19.01.2011 um 11:17 Uhr
Hi,

auch vielen Dank für deine Antwort!

Das klingt ähnlich wie bei mir. Hast du auch eine Umgebung wie ich mit 2 DCs von denen einer alle Rollen hat und beide GC sind?
Hast du irgendwelche Anpassungen nach der AD-Installation an den Rollenverteilung gemacht?
Gibt's vielleicht im DNS oder in den GPOs irgendwelche Settings mit denen man ein solches Timeout runtersetzen kann. Wenn ein DNS-Server nicht zu greifen ist würde ich erwarten, dass sofort der alternative DNS-Server gefragt wird.
offenbar scheinen ja auch nicht alle probleme damit zu haben.
Ich werde das gefühl nicht los, dass irgendeine grundsätzliche kleinigkeit bei uns fehlt...

Gruß
Martin
Bitte warten ..
Mitglied: DerWoWusste
19.01.2011 um 12:47 Uhr
beide GC? hat auch nur ein DC hat alle Rollen?
Ja, genau wie bei Euch.
Bitte warten ..
Mitglied: itskaefer
23.02.2011 um 20:06 Uhr
Hi,

vielleicht mal noch eine Kleinigkeit zum testen.
Wenn du bei einem Client ein nslookup auf den Domänennamen ( deine-domain.local )
machst, müssen die IPs beider DCs erscheinen.

Liegen die Profile der User auf dem Server oder liegen die lokal?

Wenn sie auf dem Server liegen, dann würde das auch die fast unmögliche Anmeldung erklären.
Ich glaube es gibt auch ein Timeout wie lange auf das Profil gewartet werden soll.

Zieh mal bei einem Client das Netzwerkkabel und probier dann mal die Anmeldung mit dem User der sich öfter am Rechner anmeldet oder einem der sich wenigstens vorher schonmal daran angemeldet hat. Das sollte recht schnell gehen.
Deswegen kann das nur an irgendeinem Netzwerktimeout liegen.


Gruß
Marcus
Bitte warten ..
Ähnliche Inhalte
Windows Server
Frage zum AD - Trust zwischen 2 Domänen - Abfrage Berechtigungen
Frage von IljuschinWindows Server8 Kommentare

Hallo zusammen, Ich habe da ein Problem / Frage und es ist nicht so einfach zu erklären, aber ich ...

Windows Server
GPO - Verständnis-Frage
gelöst Frage von MiStWindows Server6 Kommentare

Guten Morgen, ich habe hier ein SBS2011-Server. Da ich diesen langsam ersetzen möchte, habe ich einen weiteren Server (2016 ...

Batch & Shell
AD: alle Domänen Benutzer - Problem OU CN
gelöst Frage von lupoloBatch & Shell2 Kommentare

Servus, irgendwie klappt das bei mir nicht. Ich glaube es liegt an den Parametern für -SearchBase Ich möchte gerne ...

Router & Routing
Grundsätzliche Frage zu Port forwarding
Frage von PharaunRouter & Routing3 Kommentare

Hallo, mich würde mal interessieren, ob folgendes szenario möglich wäre: Server 1 betreibt eine Webanwendung auf Port 443. Sagen ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 1 StundeLinux7 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing13 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Microsoft Office
Outlook Cache Mode Frage
Frage von GwaihirMicrosoft Office11 Kommentare

Hallo zusammen, bin gerade neu in der Firma und lerne hier einige neue Dinge kennen. Zum Beispiel, dass die ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...