DC down, 2. DC up, Login auf Clients trotzdem nicht möglich
Hallo,
folgendes Problem, das mir aufgefallen ist. Wir haben 2 Domain-Controller unter Server 2016. Beide sind als DNS in den Clients eingetragen als primärer und sekundärer DNS. Ist nun der 1. DC jedoch offline wegen Neustart und / oder Wartungsarbeiten funktioniert kein Login der User auf den Clients. Sobald der 1. DC wieder up ist, funktioniert alles wieder. Die Replikation zwischen beiden DCs funktioniert jedoch, da alle Änderungen am Active Directory auch am 2. DC sichtbar sind.
Ich frage mich, wozu wir hier den 2. DC haben, wenn der ohnehin keine Authentifizierungen verarbeitet.
Weiß hier wer, wie man die DCs, bzw. wohl eher den Clients verklickern muss, dass wenn der 1. DC nicht erreichbar ist, die sich die Authorisierungsbestätigungen eben vom 2. DC geben lassen?
LG,
H.K.
folgendes Problem, das mir aufgefallen ist. Wir haben 2 Domain-Controller unter Server 2016. Beide sind als DNS in den Clients eingetragen als primärer und sekundärer DNS. Ist nun der 1. DC jedoch offline wegen Neustart und / oder Wartungsarbeiten funktioniert kein Login der User auf den Clients. Sobald der 1. DC wieder up ist, funktioniert alles wieder. Die Replikation zwischen beiden DCs funktioniert jedoch, da alle Änderungen am Active Directory auch am 2. DC sichtbar sind.
Ich frage mich, wozu wir hier den 2. DC haben, wenn der ohnehin keine Authentifizierungen verarbeitet.
Weiß hier wer, wie man die DCs, bzw. wohl eher den Clients verklickern muss, dass wenn der 1. DC nicht erreichbar ist, die sich die Authorisierungsbestätigungen eben vom 2. DC geben lassen?
LG,
H.K.
Please also mark the comments that contributed to the solution of the article
Content-Key: 1287251947
Url: https://administrator.de/contentid/1287251947
Printed on: April 19, 2024 at 22:04 o'clock
6 Comments
Latest comment
Moin,
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://activedirectorypro.com/dcdiag-check-domain-controller-health/
tomolpi
folgendes Problem, das mir aufgefallen ist. Wir haben 2 Domain-Controller unter Server 2016. Beide sind als DNS in den Clients eingetragen als primärer und sekundärer DNS. Ist nun der 1. DC jedoch offline wegen Neustart und / oder Wartungsarbeiten funktioniert kein Login der User auf den Clients. Sobald der 1. DC wieder up ist, funktioniert alles wieder. Die Replikation zwischen beiden DCs funktioniert jedoch, da alle Änderungen am Active Directory auch am 2. DC sichtbar sind.
Hast du das auch mal mit dcdiag geprüft, ob wirklich alles okay ist?https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://activedirectorypro.com/dcdiag-check-domain-controller-health/
LG,
H.K.
GrüßeH.K.
tomolpi
Hallo,
da muss eine grobe Fehlkonfiguration vorliegen. Ziemlich wahrscheinlich erreichen die Clients den secondary DC nicht, entweder den kompletten Server oder die entscheidenden Ports:
https://docs.microsoft.com/de-de/troubleshoot/windows-server/identity/co ...
Wenn du dir an deinem Client den DNS Server des zweiten DC´s mal fix setzt und die des primären einmal rausschmeißt könntest du zumindest mal die DNS Auflösung an deinem Client testen.
PS:
alternativ über die cmd
nslookup
server <secondary domain controller>
dann versuchen einen beliebigen Namen aufzulösen
Grüße
Somebody
da muss eine grobe Fehlkonfiguration vorliegen. Ziemlich wahrscheinlich erreichen die Clients den secondary DC nicht, entweder den kompletten Server oder die entscheidenden Ports:
https://docs.microsoft.com/de-de/troubleshoot/windows-server/identity/co ...
Wenn du dir an deinem Client den DNS Server des zweiten DC´s mal fix setzt und die des primären einmal rausschmeißt könntest du zumindest mal die DNS Auflösung an deinem Client testen.
PS:
alternativ über die cmd
nslookup
server <secondary domain controller>
dann versuchen einen beliebigen Namen aufzulösen
Grüße
Somebody
Dasselbe Problem der Nichterreichbarkeit des zweiten DC's, wenn der erste off war, hatte ich auch. Vielleicht hilft es Dir weiter: DNS-Server und VPN-Zugriff
Moin,
1. Gehen die Uhren richtig?
Kerberos akzeptiert eine maximale Abweichung von fünf Minuten. Wenn die Abweichung überschritten wird, dann funktioniert es nicht mehr. Es könnte also sein, dass z. B. die Clients drei Minuten vorgehen, der DC1 die richtige Zeit hat und der DC2 drei Minuten nachgeht. Dann hätten wir insgesamt sechs Minuten Abweichung zwischen DC2 und den Clients. DC1 und DC2 können noch miteinander aber DC2 und die Clients nicht.
2. Was sagt dcdiag?
Liebe Grüße
Erik
1. Gehen die Uhren richtig?
Kerberos akzeptiert eine maximale Abweichung von fünf Minuten. Wenn die Abweichung überschritten wird, dann funktioniert es nicht mehr. Es könnte also sein, dass z. B. die Clients drei Minuten vorgehen, der DC1 die richtige Zeit hat und der DC2 drei Minuten nachgeht. Dann hätten wir insgesamt sechs Minuten Abweichung zwischen DC2 und den Clients. DC1 und DC2 können noch miteinander aber DC2 und die Clients nicht.
2. Was sagt dcdiag?
Liebe Grüße
Erik