12
Anmeldung an Domäne durch zweiten DC nicht möglich
Hallo zusammen,
ich bräuchte eure Hilfe, denn ich bin am verzweifeln und hoffe auf euren fachmännischen Rat.
Folgendes Szenario:
Ich habe zwei Standorte die über ein Site to Site IPSec VPN verbunden sind. Funktioniert tadellos, ich kann auf beiden Seiten auf die Freigaben zugreifen, eine RDP Verbindungen herstellen usw.
Standort A:
Ein physischer Server auf dem 4 VM laufen, darunter ein DC mit AD. VH ist ein ESXi.
Standort B
Ein physischer Server auf dem 4 VM laufen, darunter ein DC mit AD. VH ist ein Hyper-V.
Jetzt habe ich einen Failover des DC und AD von Standort A nach Standort B eingerichtet. Soweit alles gut.
Die Server kommunizieren miteinander und die Replikation findet auch fehlerfrei statt. In den Adaptereinstellungen der DC´s wurden beide über kreuz eingerichtet.
Die Clients haben als secondary den DC vom Standort B übergeben bekommen.
Zum Problem:
Wenn der DC am Standort A down ist, können die Clients sich nicht an der Domäne anmelden. Der secondary greift nicht.
Woran könnte das liegen? Solltet Ihr mehr Info´s benötigen stelle ich euch diese gern zur Verfügung.
Viele Grüße an alle und ein schönes Wochenende.
ich bräuchte eure Hilfe, denn ich bin am verzweifeln und hoffe auf euren fachmännischen Rat.
Folgendes Szenario:
Ich habe zwei Standorte die über ein Site to Site IPSec VPN verbunden sind. Funktioniert tadellos, ich kann auf beiden Seiten auf die Freigaben zugreifen, eine RDP Verbindungen herstellen usw.
Standort A:
Ein physischer Server auf dem 4 VM laufen, darunter ein DC mit AD. VH ist ein ESXi.
Standort B
Ein physischer Server auf dem 4 VM laufen, darunter ein DC mit AD. VH ist ein Hyper-V.
Jetzt habe ich einen Failover des DC und AD von Standort A nach Standort B eingerichtet. Soweit alles gut.
Die Server kommunizieren miteinander und die Replikation findet auch fehlerfrei statt. In den Adaptereinstellungen der DC´s wurden beide über kreuz eingerichtet.
Die Clients haben als secondary den DC vom Standort B übergeben bekommen.
Zum Problem:
Wenn der DC am Standort A down ist, können die Clients sich nicht an der Domäne anmelden. Der secondary greift nicht.
Woran könnte das liegen? Solltet Ihr mehr Info´s benötigen stelle ich euch diese gern zur Verfügung.
Viele Grüße an alle und ein schönes Wochenende.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3174831077
Url: https://administrator.de/contentid/3174831077
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
12 Kommentare
Neuester Kommentar
Hast du den Replikationsstatus beider DCs gecheckt? Sind alle Zielports vom Remote DC für die Clients in Standort A erreichbar? Hatte das schon jemals funktioniert? Bekommen die Clients von Standort B ein DHCP Lease oder wer macht DHCP?
1
Moin,
Wie sehen die Firewall-Einstellungen
sowohl an den beiden Firewalls, die den S2S inne haben, als auch an den DCs aus?
Grundsätzlich werden diese Ports benötigt: https://www.encryptionconsulting.com/ports-required-for-active-directory ...
Wie sehen die Firewall-Einstellungen
sowohl an den beiden Firewalls, die den S2S inne haben, als auch an den DCs aus?
Grundsätzlich werden diese Ports benötigt: https://www.encryptionconsulting.com/ports-required-for-active-directory ...
1
Danke für deine Antwort.
Replikationsstatus Tests waren alle erfolgreich.
Alle Zielports sind erreichbar, sollten es diese in der Windows Firewall für das AD sein.
Nein hat es noch nicht, die Einrichtung ist eine Premiere.
Was ich jetzt gecheckt habe:
repadmin /replsummary - Keine Fehler
repadmin /showrepl - Alle erfolgreich.
Beim DCDIAG /TEST:DNS /V /E /S:pkaddsrep ist mir etwas aufgefallen, weiß nicht genau wie ich es werten soll ....
Alles andere war erfolgreich.
Replikationsstatus Tests waren alle erfolgreich.
Alle Zielports sind erreichbar, sollten es diese in der Windows Firewall für das AD sein.
Nein hat es noch nicht, die Einrichtung ist eine Premiere.
Was ich jetzt gecheckt habe:
repadmin /replsummary - Keine Fehler
repadmin /showrepl - Alle erfolgreich.
Beim DCDIAG /TEST:DNS /V /E /S:pkaddsrep ist mir etwas aufgefallen, weiß nicht genau wie ich es werten soll ....
Alles andere war erfolgreich.
Zitat von @em-pie:
Moin,
Wie sehen die Firewall-Einstellungen
sowohl an den beiden Firewalls, die den S2S inne haben, als auch an den DCs aus?
Grundsätzlich werden diese Ports benötigt: https://www.encryptionconsulting.com/ports-required-for-active-directory ...
Moin,
Wie sehen die Firewall-Einstellungen
sowohl an den beiden Firewalls, die den S2S inne haben, als auch an den DCs aus?
Grundsätzlich werden diese Ports benötigt: https://www.encryptionconsulting.com/ports-required-for-active-directory ...
Vielen Dank für deine Antwort.
Gerade nochmal alle Ports gecheckt, alles was benötigt wird ist offen.
Sind die Standort Subnetze unter "AD Sites- and Services" korrekt hinterlegt?
4Zitat von @abamakabra:
Sind die Standort Subnetze unter "AD Sites- and Services" korrekt hinterlegt?
Sind die Standort Subnetze unter "AD Sites- and Services" korrekt hinterlegt?
Vielen Dank für deine Antwort.
Ist bei beiden so eingetragen.
Da müssen beide Sites rein und dem jew. Standort zugewiesen sein.
https://blogs.manageengine.com/active-directory/2022/07/25/active-direct ....
https://blogs.manageengine.com/active-directory/2022/07/25/active-direct ....
2Zitat von @abamakabra:
Da müssen beide Sites rein und dem jew. Standort zugewiesen sein.
https://blogs.manageengine.com/active-directory/2022/07/25/active-direct ....
Da müssen beide Sites rein und dem jew. Standort zugewiesen sein.
https://blogs.manageengine.com/active-directory/2022/07/25/active-direct ....
Vielen Dank,
das war es! Es funktioniert!
Ich bedanke mich bei allen, die sich die Mühe gemacht haben mir zu helfen.
Ihr seid klasse!
Ich wünsche euch ein schönes Wochenende.
Ihr seid klasse!
Ich wünsche euch ein schönes Wochenende.
1
👌.
2
Vielleicht bei TLD .local noch lesenswert:
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
Hinweise zur Verwendung der Domäne .local in DNS und mDNS
1
Moin...
recht hast du, das vergessen viele!
Frank
Zitat von @abamakabra:
Sind die Standort Subnetze unter "AD Sites- and Services" korrekt hinterlegt?
Sind die Standort Subnetze unter "AD Sites- and Services" korrekt hinterlegt?
recht hast du, das vergessen viele!
Frank
