7
DC kein Internet
Hey Leute,
ich habe folgendes vorgefunden:
- AD 2003er
- zwei Standorte
- 2008R2 + 2003er DC's
- Hauptstandort 4 DC's
-Branchoffice 2DC's
Branchoffice plötzlich kein internet weil die DHCP's auf den DC's nicht mehr funktionieren. Laut Logs Probleme mit der AD.
So habe mir dann mal alle AD angeschaut und festgestelt das Branchoffice DC's und zwei aus dem Hapustandort 5 Minuten Zeitversatz haben.
In der zwischen Zeit ging mit den DC's im Brandoffice nichts mehr, User konnten sich nicht mehr authentifizieren. Also um denen schnell zu helfen eben einen neuen DC eingerichtet und die alten manuelle entfernt da demoten auch nicht mehr ging. Bei der installation habe ich in der Netzwerkeinstellungen die DNS IP des gesunden DC's aus der Hauptniederlassung eingetragen und dcpromo ausgeführt. Dannach konnten die User sich anmelden und INternet ging auch.
Jetzt bin ich dabei die defekte DC's aus der Hauptniederlassung zu entfernen.
Was ich jetzt noch habe und nicht verstehe ist das der neue DC selbst nicht ins Internet kommt. Also ich kann z.B. google anpingen also löst er die ADresse auf aber im IE kann keine seite aufgerufen werden. Aber die Clients and die er sich selbst als DNS Server verteilt kommen ins Internet.
EIne Idee warum der DC nicht ins internet kommt?
VG und vielen Dank!
ich habe folgendes vorgefunden:
- AD 2003er
- zwei Standorte
- 2008R2 + 2003er DC's
- Hauptstandort 4 DC's
-Branchoffice 2DC's
Branchoffice plötzlich kein internet weil die DHCP's auf den DC's nicht mehr funktionieren. Laut Logs Probleme mit der AD.
So habe mir dann mal alle AD angeschaut und festgestelt das Branchoffice DC's und zwei aus dem Hapustandort 5 Minuten Zeitversatz haben.
In der zwischen Zeit ging mit den DC's im Brandoffice nichts mehr, User konnten sich nicht mehr authentifizieren. Also um denen schnell zu helfen eben einen neuen DC eingerichtet und die alten manuelle entfernt da demoten auch nicht mehr ging. Bei der installation habe ich in der Netzwerkeinstellungen die DNS IP des gesunden DC's aus der Hauptniederlassung eingetragen und dcpromo ausgeführt. Dannach konnten die User sich anmelden und INternet ging auch.
Jetzt bin ich dabei die defekte DC's aus der Hauptniederlassung zu entfernen.
Was ich jetzt noch habe und nicht verstehe ist das der neue DC selbst nicht ins Internet kommt. Also ich kann z.B. google anpingen also löst er die ADresse auf aber im IE kann keine seite aufgerufen werden. Aber die Clients and die er sich selbst als DNS Server verteilt kommen ins Internet.
EIne Idee warum der DC nicht ins internet kommt?
VG und vielen Dank!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 284714
Url: https://administrator.de/contentid/284714
Printed on: April 24, 2024 at 18:04 o'clock
7 Comments
Latest comment
Moin,
Vorab: PING ist kein Tool um Namens/DNS Auflösungen zu testen - nslookup ist dein dein Freund.
- Firewall nicht/falsch konfiguriert?
lg,
Slainte
Vorab: PING ist kein Tool um Namens/DNS Auflösungen zu testen - nslookup ist dein dein Freund.
EIne Idee warum der DC nicht ins internet kommt?
- Proxy nicht/falsch eingetragen?- Firewall nicht/falsch konfiguriert?
lg,
Slainte
- Eventuell fehlendes Gateway (gute Frage ob das in dieser Konstellation überhaupt möglich ist *g*)
- Proxy in den Browsern eingetragen?
Das Web ergab noch folgendes:
https://community.spiceworks.com/topic/394051-windows-server-2008-domain ...
- Proxy in den Browsern eingetragen?
Das Web ergab noch folgendes:
https://community.spiceworks.com/topic/394051-windows-server-2008-domain ...
Moin,
sieht ganz nach einem Problem in den Interneteinstellugen des IE oder in der Firewall aus.
Übrigens nimmt man für namenslauflösungen nslookup (oder dig oder hos oder ...) udn für Konnectivitätstest tracer(ou)t(e). ping nimmt man nur, um nach der Latenz zu schauen.
lks
sieht ganz nach einem Problem in den Interneteinstellugen des IE oder in der Firewall aus.
Übrigens nimmt man für namenslauflösungen nslookup (oder dig oder hos oder ...) udn für Konnectivitätstest tracer(ou)t(e). ping nimmt man nur, um nach der Latenz zu schauen.
lks
Sers,
wie die Kollegen schon anmerkten: Proxy Einstellungen auf Server und Proxyserver/Firewall prüfen.
Ansonsten: Kerberos steigt bei 5 Minuten Zeitversatz aus. Du hättest die DCs eventuell auch wieder zum Laufen bekommen indem du ihre Systemzeit korrigierst.
Folgedes solltest du hierzu prüfen: Sind die DC virtualisiert? Wenn ja, unbedingt darauf achten dass die Systemzeit nicht vom Hypervisor an den DC durchgegeben wird. Oder stelle absolut sicher dass alle Hypervisoren eine einheitliche Zeit übermitteln (e.g. Kopplung an eigenen (S)NTP Server)
Technet: Authentication Errors are Caused by Unsynchronized Clocks
Grüße,
Philip
wie die Kollegen schon anmerkten: Proxy Einstellungen auf Server und Proxyserver/Firewall prüfen.
Ansonsten: Kerberos steigt bei 5 Minuten Zeitversatz aus. Du hättest die DCs eventuell auch wieder zum Laufen bekommen indem du ihre Systemzeit korrigierst.
Folgedes solltest du hierzu prüfen: Sind die DC virtualisiert? Wenn ja, unbedingt darauf achten dass die Systemzeit nicht vom Hypervisor an den DC durchgegeben wird. Oder stelle absolut sicher dass alle Hypervisoren eine einheitliche Zeit übermitteln (e.g. Kopplung an eigenen (S)NTP Server)
Technet: Authentication Errors are Caused by Unsynchronized Clocks
Grüße,
Philip
@psannz
Das ist jetzt eh schon 'rum nach dem er alle "!defekten" DCs schon aus dem AD entfernt hat (hoffentlich vollständig). Wird sich zeigen wie gut's dem AD dann hinterher geht.
Das ist jetzt eh schon 'rum nach dem er alle "!defekten" DCs schon aus dem AD entfernt hat (hoffentlich vollständig). Wird sich zeigen wie gut's dem AD dann hinterher geht.
Zitat von @SlainteMhath:
@psannz
Das ist jetzt eh schon 'rum nach dem er alle "!defekten" DCs schon aus dem AD entfernt hat (hoffentlich vollständig). Wird sich zeigen wie gut's dem AD dann hinterher geht.
@psannz
Das ist jetzt eh schon 'rum nach dem er alle "!defekten" DCs schon aus dem AD entfernt hat (hoffentlich vollständig). Wird sich zeigen wie gut's dem AD dann hinterher geht.
Kann ganz massiv nach hinten losgehen wenn wirklich unterschiedliche Zeiten von den Hypervisoren weitergegeben werden. Bzw ein gesunder DC auf einen "verspäteten" HV mit aktivierter VM-Zeit-Sync verschoben wird, am Besten noch via LiveMigration, dass der Zeitsprung möglichst auch noch ein paar Minuten in die Vergangenheit geht ;)
Und da wir noch bei der Virtualisierung sind: Finger weg von den Snapshots! (bei DCs)
Hey Leute,
danke für die Tips, habe nach dem ich google gepingt habe direkt im Kopf Firewall abgehackt da der Ping ja erfolgreich war.
Naja in der Firewall war einiges gesperrt.
Jetzt läuft auch das Internet auf dem DC. So jetzt gehts weiter um die AD aufzuräumen.
VG an alle
danke für die Tips, habe nach dem ich google gepingt habe direkt im Kopf Firewall abgehackt da der Ping ja erfolgreich war.
Naja in der Firewall war einiges gesperrt.
Jetzt läuft auch das Internet auf dem DC. So jetzt gehts weiter um die AD aufzuräumen.
VG an alle
