lcer00
Goto Top

Domäne nicht verfügbar bei Smartcard Anmeldung wenn DC am Standort offline ist

Hallo zusammen,

der Titel ist nicht ganz glücklich gewählt.

Gestern habe ich Änderungen an der Netzwerkanbindung unseres 2012R2 Hyper-V Hosts vorgenommen. Dabei war zeitweilig der virtualisierte DC am Standort offline (die VLANs hatte ich neu sortiert). In dieser Zeit hatte ich Probleme mit der Anmeldung am Hyper-V Host. Die Smartcard-Anmeldung war nicht möglich, "Domäne nicht verfügbar". Kurzzeitig kam Panic auf. Letztlich klappte der Login mit einem Domänenadmin-Konto + Kennwort.

Der Hyper-V Host hat als ersten DNS-Server den virtualisierten DC (der sein Gast ist) und als 2. DNS-Server einen DC am anderen Standort. Die Anmeldung mittels Kennwort und klappte. Normalerweise ist sein LOGON-Server der virtualisierte DC. Jetzt habe ich folgende Fragen:

1.) wie und wo kann ich nachsehen, ob die Anmeldung mittels Abfrage zum DC oder über zwischengespeicherte Anmeldeinformationen erfolgte?
2.) Warum war die "Domäne nicht verfügbar" obwohl der 2. DNS-Server erreichbar war. Gibt es hier Unterschiede bei Smardcard-Login und Kennwort-Login?
3.) Wie verhindere ich ein Aussperren am Hyper-V Host, bei Verlust von DC & Netzwerkkonnektivität - WENN DER HYPER-V HOST IN DER DOMÄNE BLEIBEN SOLL (Bitte Ratschläge in dieser Richtung mal weglassen!)

Grüße

lcer

Content-ID: 644651

Url: https://administrator.de/contentid/644651

Ausgedruckt am: 18.11.2024 um 00:11 Uhr

Looser27
Looser27 26.01.2021 aktualisiert um 08:51:18 Uhr
Goto Top
Moin,

2.) Warum war die "Domäne nicht verfügbar" obwohl der 2. DNS-Server erreichbar war. Gibt es hier Unterschiede bei Smardcard-Login und Kennwort-Login?

Das Phänomen hatte ich in ähnlicher Form. Der Client braucht ne ganze Weile, bis er den ersten DNS nicht mehr anfragt.
Wieviel Geduld hattest Du? face-wink

3.) Wie verhindere ich ein Aussperren am Hyper-V Host, bei Verlust von DC & Netzwerkkonnektivität - WENN DER HYPER-V HOST IN DER DOMÄNE BLEIBEN SOLL (Bitte Ratschläge in dieser Richtung mal weglassen!)

Dedizierter, schlanker, vollwertiger DC am Standort des Hyper-V-Hosts.

Gruß

Looser
lcer00
lcer00 26.01.2021 um 09:00:48 Uhr
Goto Top
Zitat von @Looser27:

Moin,

2.) Warum war die "Domäne nicht verfügbar" obwohl der 2. DNS-Server erreichbar war. Gibt es hier Unterschiede bei Smardcard-Login und Kennwort-Login?

Das Phänomen hatte ich in ähnlicher Form. Der Client braucht ne ganze Weile, bis er den ersten DNS nicht mehr anfragt.
Wieviel Geduld hattest Du? face-wink

keine. Es kam Panik auf. Ich hatte eine auf dem Hyper-V VLAN-Zwickmühle konfiguriert: Entweder war der Host (tagged) oder der DC (untagged) erreichbar. Beide redeten aneinander vorbei und kam nicht auf die Kiste drauf.
3.) Wie verhindere ich ein Aussperren am Hyper-V Host, bei Verlust von DC & Netzwerkkonnektivität - WENN DER HYPER-V HOST IN DER DOMÄNE BLEIBEN SOLL (Bitte Ratschläge in dieser Richtung mal weglassen!)

Dedizierter, schlanker, vollwertiger DC am Standort des Hyper-V-Hosts.
hm.

Grüße

lcer
Looser27
Looser27 26.01.2021 um 09:46:07 Uhr
Goto Top
keine. Es kam Panik auf. Ich hatte eine auf dem Hyper-V VLAN-Zwickmühle konfiguriert: Entweder war der Host (tagged) oder der DC (untagged) erreichbar. Beide redeten aneinander vorbei und kam nicht auf die Kiste drauf.

Kenn ich..... face-smile Man baut etwas um, nimmt es in Betrieb und merkt viel zu spät, dass man Mist gebaut hat.....da hilft immer nur noch beten....
Mr-Gustav
Mr-Gustav 27.01.2021 um 00:12:41 Uhr
Goto Top
Guten Abend zusammen,

hatte auch mal das selbe Problem...... Ist ein sehr sehr ungutes Gefühl wenn was Umgebaut wurde und danach was nicht geht.
Da kommt dann immer leicht Panik auf face-sad

Zitat von @lcer00:
3.) Wie verhindere ich ein Aussperren am Hyper-V Host, bei Verlust von DC & Netzwerkkonnektivität - WENN DER HYPER-V HOST IN DER DOMÄNE BLEIBEN SOLL (Bitte Ratschläge in dieser Richtung mal weglassen!)


Ist wohl so ein Henne / Ei Problem. DC VM auf Hyper-V Host und dann ist der Hyp-V auch noch in der Domäne.
Kenn das Spiel leider all zu gut.
Wir haben uns bei solchen Konstellationen, wo keine Redundanz vor Ort vorhanden ist, dazu entschlossen einen schmalen Server
an den Standort zu stellen welcher dann den ersten DC macht. Der Zweite, wenn nötig, ist dann eine VM.

Die IP Netze und Standorte hast du in der AD gepflegt ? Die Zuordnungen IP-Subnetz / DC / Standort stimmen ?

LG
HansWurst4711
HansWurst4711 28.01.2021 um 12:09:11 Uhr
Goto Top
Einzige Lösung:

- kleiner physikalischer DC. (besser 2, einen noch am anderen Standort)

Wenn der Hyper-V Host in der Domäne sein soll (haben wir auch), sind virtuelle DCs nicht wirklich sinnvoll. Was man machen kann ist, den virtuellen DC als Ersatz bei Updates der physischen DCs zu nutzen.
lcer00
lcer00 28.01.2021 aktualisiert um 13:49:43 Uhr
Goto Top
Hallo,
Zitat von @HansWurst4711:

Einzige Lösung:

- kleiner physikalischer DC. (besser 2, einen noch am anderen Standort)

Wirklich? Das klinkt ja erst mal alles ganz logisch, aber: Warum in aller Welt fragt der Hyper-V Host nicht bei einem DC am anderen Standort nach? Der stand nämlich als 2. DNS-Servern drin und war definitiv online.

Wenn ich zusätzlich das Szenario "Standort-VPN kaputt" absichern will, brauche ich einen DC vor Ort, aber doch eigentlich nicht für das Szenario "Standort-DC offline".

Grüße

lcer
Looser27
Looser27 28.01.2021 um 13:58:39 Uhr
Goto Top
Wirklich? Das klinkt ja erst mal alles ganz logisch, aber: Warum in aller Welt fragt der Hyper-V Host nicht bei einem DC am anderen Standort nach? Der stand nämlich als 2. DNS-Servern drin und war definitiv online.

Ist der 2. DC am anderen Standort denn für den Hyper-V Host erreichbar (Firewall-/Routing-Regeln)?
lcer00
lcer00 28.01.2021 um 14:00:08 Uhr
Goto Top
Zitat von @Looser27:

Wirklich? Das klinkt ja erst mal alles ganz logisch, aber: Warum in aller Welt fragt der Hyper-V Host nicht bei einem DC am anderen Standort nach? Der stand nämlich als 2. DNS-Servern drin und war definitiv online.

Ist der 2. DC am anderen Standort denn für den Hyper-V Host erreichbar (Firewall-/Routing-Regeln)?
Definitiv.

Grüße

lcer
Looser27
Lösung Looser27 28.01.2021 um 14:05:42 Uhr
Goto Top
Wenn sich der Host genauso verhält, wie ich das schon häufig bei den Clients beobachten musste, dann braucht es teilweise sehr lange (>15min) bis der 2. DNS angefragt ist. Warum das so ist, ist leider nicht nachvollziehbar.
lcer00
lcer00 28.01.2021 um 14:10:19 Uhr
Goto Top
Zitat von @Looser27:

Wenn sich der Host genauso verhält, wie ich das schon häufig bei den Clients beobachten musste, dann braucht es teilweise sehr lange (>15min) bis der 2. DNS angefragt ist. Warum das so ist, ist leider nicht nachvollziehbar.
OK, dann warte ich das nächste mal.

Grüße

lcer