14
DCs meinen sie wäre im Public-Network
Hallo,
ich migriere hier gerade von 2012R2 auf 2019. Zwei meiner neuen DCs scheinen sich nicht sicher zu sein, wo sie sind. Das Networkprofile klassifizieren Sie als Public und schwups - die Windows-Firewall macht dicht.
Diese DCs stehen in einem Subnetz, das bisher ohne DCs war.
Woran kann das liegen?
Das Netz ist bei AD Standorte und Dienste angelegt und dem Standort zugeordnet.
Die DCs haben feste IPs. Der Domänenname ist für DNS hinterlegt.
Grüße
lcer
ich migriere hier gerade von 2012R2 auf 2019. Zwei meiner neuen DCs scheinen sich nicht sicher zu sein, wo sie sind. Das Networkprofile klassifizieren Sie als Public und schwups - die Windows-Firewall macht dicht.
Diese DCs stehen in einem Subnetz, das bisher ohne DCs war.
Woran kann das liegen?
Das Netz ist bei AD Standorte und Dienste angelegt und dem Standort zugeordnet.
Die DCs haben feste IPs. Der Domänenname ist für DNS hinterlegt.
Grüße
lcer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 664881
Url: https://administrator.de/contentid/664881
Printed on: April 27, 2024 at 01:04 o'clock
14 Comments
Latest comment
Moin,
definiere mal bitte
Das liest sich so, als wenn ihr eine neue Domain parallel aufbaut und nicht die neuen DCs ins bestehende AD integriert, die Rollen verschiebt, die alten DCs ausschalten, ein paar Tage wartet und dann die alten DCs demotet, wenn keine weiteren Fehler aufgetreten sind!?
Gruß
em-pie
definiere mal bitte
ich migriere hier gerade von 2012R2 auf 2019
im Zusammenhang mitDiese DCs stehen in einem Subnetz, das bisher ohne DCs war.
Das liest sich so, als wenn ihr eine neue Domain parallel aufbaut und nicht die neuen DCs ins bestehende AD integriert, die Rollen verschiebt, die alten DCs ausschalten, ein paar Tage wartet und dann die alten DCs demotet, wenn keine weiteren Fehler aufgetreten sind!?
Gruß
em-pie
Moin,
passt der Zugriff von/in das neue Subnetz (Firewallregeln/Routing)?
Gruß
Looser
passt der Zugriff von/in das neue Subnetz (Firewallregeln/Routing)?
Gruß
Looser
Hallo,
Netzwerke (IPs etc) sind da nicht definiert, nur Bereiche (öffentlich, privat, Domäne), die meisten Regeln sind nur für Domäne aktiv.
Grüße
lcer
Zitat von @em-pie:
Moin,
definiere mal bitte
Das liest sich so, als wenn ihr eine neue Domain parallel aufbaut und nicht die neuen DCs ins bestehende AD integriert, die Rollen verschiebt, die alten DCs ausschalten, ein paar Tage wartet und dann die alten DCs demotet, wenn keine weiteren Fehler aufgetreten sind!?
nein. Die Domäne bleibt gleich. Keine neue Domäne. Die neuen DC sollen lediglich zusätzlich in einem separaten Netzsegment stehen.Moin,
definiere mal bitte
ich migriere hier gerade von 2012R2 auf 2019
im Zusammenhang mitDiese DCs stehen in einem Subnetz, das bisher ohne DCs war.
Das liest sich so, als wenn ihr eine neue Domain parallel aufbaut und nicht die neuen DCs ins bestehende AD integriert, die Rollen verschiebt, die alten DCs ausschalten, ein paar Tage wartet und dann die alten DCs demotet, wenn keine weiteren Fehler aufgetreten sind!?
Netzwerke (IPs etc) sind da nicht definiert, nur Bereiche (öffentlich, privat, Domäne), die meisten Regeln sind nur für Domäne aktiv.
Grüße
lcer
Hallo,
Immerhin scheine damit mein Problem nicht vor dem Rechner zu sitzen, wobei man das nicht wissen kann.
Grüße
lcer
Zitat von @FFSephiroth:
Server 2019, frische Domäne - Privates Netzwerk nach dem Neustart
Letzter Beitrag ist die Lösung.
echt jetzt? Ein Bastel-Workaround? Da verliert man doch den Glauben an Microsoft .... Aber wie da schon im Thread steht:Server 2019, frische Domäne - Privates Netzwerk nach dem Neustart
Letzter Beitrag ist die Lösung.
Zitat von @MehmetYaman:
Hallo Zusammen,
ich habe das Problem auch aktuell und das nicht nur auf einem Domänencontroller. Leider hat der Support von Microsoft nach mehreren Tagen Troubelshooting auch nicht das erhoffte Ergebnis liefern können.
Hallo Zusammen,
ich habe das Problem auch aktuell und das nicht nur auf einem Domänencontroller. Leider hat der Support von Microsoft nach mehreren Tagen Troubelshooting auch nicht das erhoffte Ergebnis liefern können.
Immerhin scheine damit mein Problem nicht vor dem Rechner zu sitzen, wobei man das nicht wissen kann.
Grüße
lcer
@icer00
Glaub mir, ich bin auch an dem Problem verzweifelt, bis ich diesen Thread gefunden hab.
Vorher war die Lösung, die Netzwerkverbindung kurz zu trennen, danach waren die Server in der Domain bis zum nächsten Neustart.
Glaub mir, ich bin auch an dem Problem verzweifelt, bis ich diesen Thread gefunden hab.
Vorher war die Lösung, die Netzwerkverbindung kurz zu trennen, danach waren die Server in der Domain bis zum nächsten Neustart.
Zitat von @lcer00:
Netzwerke (IPs etc) sind da nicht definiert, nur Bereiche (öffentlich, privat, Domäne), die meisten Regeln sind nur für Domäne aktiv.
Grüße
lcer
Das ist aber sicherlich nicht die Antwort, auf die Looser27 hinaus wollte. Die Windows-Firewall schließe ich (ersteinmal) aus. Wobei man sich die an den alten DCs auch noch einmal anschauen sollte.Netzwerke (IPs etc) sind da nicht definiert, nur Bereiche (öffentlich, privat, Domäne), die meisten Regeln sind nur für Domäne aktiv.
Grüße
lcer
Du schreibst, dass die neuen DCs in eine neuen Netzsegment hängen.
Kommen VLANs zum Einsatz? Wer routet? gibt es am Router ACLs/ Firewall-Richtlinien?
Kann der alte DC den neuen anpingen und umgekehrt?
Ferner: Ist der richtige DNS (also die alten DCs) am neuen DC eingetragen?
@em-pie
Er hat aber auch geschrieben, dass die Domäne im DNS eingetragen ist. Und da liegt der Hase im Pfeffer. Server 2019 wartet nicht bis er Mitteilung vom DNS bekommen hat und bringt die Server ins öffentliche Netz. Es fehlt nur die DNS Abhängigkeit....
Er hat aber auch geschrieben, dass die Domäne im DNS eingetragen ist. Und da liegt der Hase im Pfeffer. Server 2019 wartet nicht bis er Mitteilung vom DNS bekommen hat und bringt die Server ins öffentliche Netz. Es fehlt nur die DNS Abhängigkeit....
Hallo
Ferner: Ist der richtige DNS (also die alten DCs) am neuen DC eingetragen?
Da hatte ich auch schin dran gedacht, aber was ist denn richtig? Hat sich da was geändert? Es sind jedenfalls DNS-Server eingetragen, die DCs der Domäne + DNS-Server sind. Sich selbst (127.0.0.1 / Eigene-IP) habe ich dagegen nicht drin, das hatte bisher auch immer funktioniert (2 DCs am Standort). Habe auch überprüft, dass die Server die Domäne auflösen.
Gibt es ein aktuelles Dokument von Microsoft das hier Empfehlungen zur DNS-Konfiguration gibt?
Grüße
lcer
Zitat von @em-pie:
Kommen VLANs zum Einsatz? Wer routet? gibt es am Router ACLs/ Firewall-Richtlinien?
Kann der alte DC den neuen anpingen und umgekehrt?
gelegentlich können die sogar replizieren. Das Netzsegment ist nicht neu, das Routing und die Firewallregeln passen definitiv. Über die für "Privat" erlaubten Dienste komme ich ran.Kommen VLANs zum Einsatz? Wer routet? gibt es am Router ACLs/ Firewall-Richtlinien?
Kann der alte DC den neuen anpingen und umgekehrt?
Ferner: Ist der richtige DNS (also die alten DCs) am neuen DC eingetragen?
Gibt es ein aktuelles Dokument von Microsoft das hier Empfehlungen zur DNS-Konfiguration gibt?
Grüße
lcer
Ich würde als ersten DC einen aus dem alten Netzwerksegment setzen.
Als zweiten einen aus dem neuen und als letztes die 127.0.0.1.
Damit bin ich immer gut gefahren.
Gruß
Looser
Als zweiten einen aus dem neuen und als letztes die 127.0.0.1.
Damit bin ich immer gut gefahren.
Gruß
Looser
Hi Icer,
Wie sieht deine Netzwerkinfrastruktur aus? Was für aktive Komponenten (Router/Firewalls) hängen zwischen DCs?
Dass Verhalten deutet darauf hin, dass der NLASVC -Dienst ins Leere läuft und nicht in die Domäne. Ich würde in den Eventlogs alle einträge zum Dienst prüfen.
Und wenn du an der Server-Firewall rumzuspielen willst, dann bitte nur die Protokollierung aktivieren.
Gruß
Archer
Wie sieht deine Netzwerkinfrastruktur aus? Was für aktive Komponenten (Router/Firewalls) hängen zwischen DCs?
Dass Verhalten deutet darauf hin, dass der NLASVC -Dienst ins Leere läuft und nicht in die Domäne. Ich würde in den Eventlogs alle einträge zum Dienst prüfen.
Und wenn du an der Server-Firewall rumzuspielen willst, dann bitte nur die Protokollierung aktivieren.
Gruß
Archer
Zitat von @lcer00:
Gibt es ein aktuelles Dokument von Microsoft das hier Empfehlungen zur DNS-Konfiguration gibt?
Grüße
lcer
Gibt es ein aktuelles Dokument von Microsoft das hier Empfehlungen zur DNS-Konfiguration gibt?
Grüße
lcer
Jupps
https://docs.microsoft.com/de-de/windows-server/networking/dns/deploy/dn ...
Gruß
Archer
Hallo,
Da war ich aus anderen Gründen auch schon mal. In dem Link werden die neuen Features, vor allem Scopes/Views vorgestellt. Ist aber nicht das gesuchte.
Mir geht es um die Konfiguration der DNS Clients auf den Domänencontrollern. Und dabei speziell um die Frage, ob die eigene IP rein sollte oder nicht ggf. bei mehreren Standorten. Gefühlt werden hier immer mündlich weitergegebene Ansichten von Server 2003 weitergegeben.
Grüße
lcer
Zitat von @148021:
Jupps
https://docs.microsoft.com/de-de/windows-server/networking/dns/deploy/dn ...
Gruß
Archer
Zitat von @lcer00:
Gibt es ein aktuelles Dokument von Microsoft das hier Empfehlungen zur DNS-Konfiguration gibt?
Grüße
lcer
Gibt es ein aktuelles Dokument von Microsoft das hier Empfehlungen zur DNS-Konfiguration gibt?
Grüße
lcer
Jupps
https://docs.microsoft.com/de-de/windows-server/networking/dns/deploy/dn ...
Gruß
Archer
Da war ich aus anderen Gründen auch schon mal. In dem Link werden die neuen Features, vor allem Scopes/Views vorgestellt. Ist aber nicht das gesuchte.
Mir geht es um die Konfiguration der DNS Clients auf den Domänencontrollern. Und dabei speziell um die Frage, ob die eigene IP rein sollte oder nicht ggf. bei mehreren Standorten. Gefühlt werden hier immer mündlich weitergegebene Ansichten von Server 2003 weitergegeben.
Grüße
lcer
Moin,
Welche Konfiguration für die Infrastruktur die Richtige ist, entscheidet der lokale Admin
Die Rolle des ActiveDirectory-Service kann unabhängig vom DNS-Dienst installiert werden. Jedoch müssen sich die beiden Dienste blind Finden und Vertrauen können. Aus diesem Grund präferiert Microsoft die Installation auf einem System. Also für mich das übliche Spielchen. Frage und Vertraue zuerst dir selbst, wenn da nix kommt...einen Kollegen.
Welche Konfiguration für die Infrastruktur die Richtige ist, entscheidet der lokale Admin
Die Rolle des ActiveDirectory-Service kann unabhängig vom DNS-Dienst installiert werden. Jedoch müssen sich die beiden Dienste blind Finden und Vertrauen können. Aus diesem Grund präferiert Microsoft die Installation auf einem System. Also für mich das übliche Spielchen. Frage und Vertraue zuerst dir selbst, wenn da nix kommt...einen Kollegen.