Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage an AD-Profis zu grundsätzlichem (Verständnis-)Problem bei Benutzer-Authentifizierungsanfragen in Domänen mit 2-Domänencontroller

Frage Microsoft Windows Server

Mitglied: azubaer

azubaer (Level 2) - Jetzt verbinden

19.01.2011 um 01:06 Uhr, 4141 Aufrufe, 8 Kommentare

Was muss man genau beachten, damit in einer Domäne mit 2 Domänencontrollern, beide DCs voll funktionsfähig sind und beide Benutzer-Authentifizierungsanfragen korrekt beantworten?

Hallo zusammen,

also, ich habe schon die ein oder andere Domäne mit Exchange Server und Co. installiert. In den meisten Fällen waren es kleine Umgebungen mit nur zwei DCs.
Mir fällt auf, dass ich in einer Domäne mit 2 DCs ich ständig Probleme mit der Benutzerauthentifizierung habe, wenn der primäre DC (also derjenige auf dem das Active Directory zuerst installiert wurde und der Träger aller FSMO-Rollen ist) offline ist und nur noch der zweite DC online ist, der aber keine Rolle inne hat. Beide Server sind aber als Globaler Katalog. Trotzdem können sich etwa Benutzer am Webmailer oder Administratoren an den Servern nur dann anmelden, wenn der "primäre DC" mit allen Rollen online ist.

Gibt es für dieses Verhalten eine Erklärung? Habe ich hier eine essentielle Wissenslücke? Fehlt eine bestimmte Konfiguration oder gibt es in dieser 2-DC-Konstellation etwas besonderes zu beachten?
Meines Wissens nach werden die FSMO Rollen nur bei "größeren" Änderungen am AD gebraucht (etwa das Anlegen (vieler) neuer Objekte, Ändern der Betriebsmaster, Schemaerweiterungen, etc).
Ich beobachte das Problem auch nicht nur in einer Umgebung sondern in vielen. (beispielsweise 2003 als auch 2008 R2 Domäne).
Alle Server sind physikalisch und laufen auf Windows Server 2008 R2.

Hat jemand dieses Phänomen schonmal beobachtet?
Die Ereignisprotokolle geben für mein Verständnis keinen konkreten Hinweiß auf AD-Probleme - die Replikationen des AD funktionieren problemlos (GPOs werden beispielsweise problemlos repliziert).

Ich habe echt keine Ahnung woran das liegen könnte...

Ich freu mich auf eure Ideen - bin für jede gute Idee!

Greetz
Martin
Mitglied: lenny4me
19.01.2011 um 07:26 Uhr
Hallo,

Grundsätzlich sollte die Anmeldung weiterhin möglich sein. Nur bei einer längeren Offlinezeit könntest du Probleme bekommen. Wir haben hier ein paar DC's mehr aber mehr FSMO roles haben wir ja auch nicht.
Welche Meldung bekommst du denn, wenn du dich anmelden willst und der PDC offline ist?

Grüße Lenny
Bitte warten ..
Mitglied: DerWoWusste
19.01.2011 um 08:31 Uhr
Haben die Clients denn auch den 2. DC als DNS-Server eingetragen? Das ist notwendig.
Wir hatten gerade erst durch Hardwareausfall eine längere Downtime des DCs, keine Probleme mit dem zweiten (beide 2008).
Bitte warten ..
Mitglied: jonny83
19.01.2011 um 08:45 Uhr
die Clients melden sich doch immer bei dem ersten DNS Server der ihnen eingetragen ist. Wenn der DNS dem Client dann sagt das der DC1 für ihn als Anmeldeserver dient sucht der Client ´türlich auch nach dem.
Ist der nun nicht vorhanden braucht der Client eine Weile bis er auch schnallt - "frag noch Mal beim DNS nach welcher denn noch Anmeldeserver ist"

Das Problem kenne ich auch - wenn ich einen DC runterfahre braucht meine XP Maschine recht lange bis ich mich wieder anmelden kann. Meist muss ich es 3-4-5 mal versuchen bis meine Anmeldung wieder funktioniert.

Theoretisch sollte es also funktionieren ein ipconfig /flushdns zu starten und dann noch Mal prüfen an welchem DC ich nun angemeldet bin.

Also - DC aus - flushdns - PC neustarten - anmelden. Habe ich selbst noch nie getestet aber würde vielleicht Sinn machen ...
Bitte warten ..
Mitglied: azubaer
19.01.2011 um 11:11 Uhr
Hi,

ich danke dir für deine Antwort!
Wenn ich mich anmelden möchte wartet man einfach nur: Der user beim Webaccess wartet und wartet und bekommt irgendwann vermutlich nen Abbruch durch einen Timeout. Bei Clients steht einfach nur ewig "Willkommen". Erst wenn der primäre DC wieder da ist, klappt der Login wieder. Im eventlog steht, dass kein Anmeldeserver zum Verarbeiten der Logindaten zur Verfügung stand.

Paradoxerweise meine ich, dass es aber schonmal funktioniert hat. Ich erinnere mich, dass der erste Login am Webmailer dann auch ungewöhnlich lange dauerte, es aber nach einer zeit klappte. Danach konnten weitere Clients sich wieder zügig anmelden.

Wir haben unsere ganze umgebung auch als testumgebung virtualisiert. Vielleicht macht es Sinn einmal testen, ob das Problem auch virtuell besteht...

Gruß
Martin
Bitte warten ..
Mitglied: azubaer
19.01.2011 um 11:13 Uhr
Hi,

ich danke auch dir für deine Antwort!
Ein zweiter DC ist vorhanden und auch überall eingetragen.

Hat deine Umgebung denn die gleiche Konstellation wie unsere? (beide GC? hat auch nur ein DC hat alle Rollen?)

Ich meine, dass es irgendwo mal ein Best Practise gab, wo man bestimmte Rollenverteilungen auf einer Domäne mit 2 DCs einhalten soll, die beide Globaler Katalog sind.

Gruß
Martin
Bitte warten ..
Mitglied: azubaer
19.01.2011 um 11:17 Uhr
Hi,

auch vielen Dank für deine Antwort!

Das klingt ähnlich wie bei mir. Hast du auch eine Umgebung wie ich mit 2 DCs von denen einer alle Rollen hat und beide GC sind?
Hast du irgendwelche Anpassungen nach der AD-Installation an den Rollenverteilung gemacht?
Gibt's vielleicht im DNS oder in den GPOs irgendwelche Settings mit denen man ein solches Timeout runtersetzen kann. Wenn ein DNS-Server nicht zu greifen ist würde ich erwarten, dass sofort der alternative DNS-Server gefragt wird.
offenbar scheinen ja auch nicht alle probleme damit zu haben.
Ich werde das gefühl nicht los, dass irgendeine grundsätzliche kleinigkeit bei uns fehlt...

Gruß
Martin
Bitte warten ..
Mitglied: DerWoWusste
19.01.2011 um 12:47 Uhr
beide GC? hat auch nur ein DC hat alle Rollen?
Ja, genau wie bei Euch.
Bitte warten ..
Mitglied: itskaefer
23.02.2011 um 20:06 Uhr
Hi,

vielleicht mal noch eine Kleinigkeit zum testen.
Wenn du bei einem Client ein nslookup auf den Domänennamen ( deine-domain.local )
machst, müssen die IPs beider DCs erscheinen.

Liegen die Profile der User auf dem Server oder liegen die lokal?

Wenn sie auf dem Server liegen, dann würde das auch die fast unmögliche Anmeldung erklären.
Ich glaube es gibt auch ein Timeout wie lange auf das Profil gewartet werden soll.

Zieh mal bei einem Client das Netzwerkkabel und probier dann mal die Anmeldung mit dem User der sich öfter am Rechner anmeldet oder einem der sich wenigstens vorher schonmal daran angemeldet hat. Das sollte recht schnell gehen.
Deswegen kann das nur an irgendeinem Netzwerktimeout liegen.


Gruß
Marcus
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Batch & Shell
gelöst AD: alle Domänen Benutzer - Problem OU CN (2)

Frage von lupolo zum Thema Batch & Shell ...

Microsoft
AD Problem und VPN (4)

Frage von Yannosch zum Thema Microsoft ...

Windows Server
AD Bestimmten Benutzer (Hilfsadmin) nur Zugriff auf eine OU geben (1)

Frage von conym18 zum Thema Windows Server ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...