13
Domänenanmeldung dauert lange nach Migration auf neuen Server
Hi liebes Forum,
ich habe hier ein Problem und komme echt nicht weiter. Zur Lage:
Wir haben einen alten DC, nennen wir ihn DC01 der auf den neuen (virtuellen) DC02 migriert wurde. Alles ist super gelaufen, FSMO Rollen wurden auch übertragen, danach wurde auf dem DC01 das AD per DCPROMO gelöscht und DNS auf den neuen übertragen. Anmeldungen an die Domäne liefen und die Gruppenrichtlinien wurden ordnungsgemäß verteilt, ABER wenn ich den alten DC01 abschalte dauern die Anmeldungen lange und da liegt auch mein Problem. Daraufhin habe ich die ganzen „Leichen“ im DNS gelöscht und den DC02 geprüft, der DC02 ist Betriebsmaster und hat auch die ganzen Rollen übernommen (Schemamaster, Domänennamen- Master, PDC, RID-Pool-Manager und Infrastrukturmaster), kann man ja auch über „netdom query fsmo“ abrufen. Aber warum braucht die Anmeldung so lange? Gibt es noch irgendeine Eistellung die ich vielleicht vergessen/übersehen habe?
Zur Info, wenn der alte DC01 im Netz ist, dauert die Anmeldung ein Bruchteil
Alle Client PC haben nur den neuen DNS Server eingetragen. Auf den neuen DC02 ist eine Weiterleitung auf den Router. Habe oft gelesen dass es meist ein DNS Problem ist aber da komme ich leider nicht weiter …
Der alte DC01 war ein Windows Server 2003 und der neue ist ein Windows Server 2008 R2 x64. Wir haben hier ausschließlich Windows 7 im Einsatz (x86/x64).
Alle IP Adressen sind fest eingetragen worden.
Würde mich über Hinweise/Ideen oder auch Kritik freuen. MfG
ich habe hier ein Problem und komme echt nicht weiter. Zur Lage:
Wir haben einen alten DC, nennen wir ihn DC01 der auf den neuen (virtuellen) DC02 migriert wurde. Alles ist super gelaufen, FSMO Rollen wurden auch übertragen, danach wurde auf dem DC01 das AD per DCPROMO gelöscht und DNS auf den neuen übertragen. Anmeldungen an die Domäne liefen und die Gruppenrichtlinien wurden ordnungsgemäß verteilt, ABER wenn ich den alten DC01 abschalte dauern die Anmeldungen lange und da liegt auch mein Problem. Daraufhin habe ich die ganzen „Leichen“ im DNS gelöscht und den DC02 geprüft, der DC02 ist Betriebsmaster und hat auch die ganzen Rollen übernommen (Schemamaster, Domänennamen- Master, PDC, RID-Pool-Manager und Infrastrukturmaster), kann man ja auch über „netdom query fsmo“ abrufen. Aber warum braucht die Anmeldung so lange? Gibt es noch irgendeine Eistellung die ich vielleicht vergessen/übersehen habe?
Zur Info, wenn der alte DC01 im Netz ist, dauert die Anmeldung ein Bruchteil
Alle Client PC haben nur den neuen DNS Server eingetragen. Auf den neuen DC02 ist eine Weiterleitung auf den Router. Habe oft gelesen dass es meist ein DNS Problem ist aber da komme ich leider nicht weiter …Der alte DC01 war ein Windows Server 2003 und der neue ist ein Windows Server 2008 R2 x64. Wir haben hier ausschließlich Windows 7 im Einsatz (x86/x64).
Alle IP Adressen sind fest eingetragen worden.
Würde mich über Hinweise/Ideen oder auch Kritik freuen. MfG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 241837
Url: https://administrator.de/contentid/241837
Ausgedruckt am: 20.11.2024 um 06:11 Uhr
13 Kommentare
Neuester Kommentar
Hi,
ist der neue DC auch Globaler Katalog?
E.
ist der neue DC auch Globaler Katalog?
E.
Hi,
hast du auch in Standorten den alten Server gelöscht (Ad Standort MMC)?
Gruß eumel
hast du auch in Standorten den alten Server gelöscht (Ad Standort MMC)?
Gruß eumel
Ja ist er.Unter NTDS Settings ist Globaler Katalog aktiviert.
Ja habe ich, da steht nur der DC02 drin.
Vielleicht noch als Ergänzung: ich habe mal Wireshark neben einer Anmeldung laufen lassen und er Fragt immer den alten DC01 dieser gibt aber immer eine Fehlermeldung ab.
2095 31.579296000 192.168.Client 192.168.DC01 SMB 514 Session Setup AndX Request, NTLMSSP_AUTH, User: XXX\AA
2096 31.579761000 192.168.0.10 192.168.0.83 SMB 93 Session Setup AndX Response, Error: STATUS_LOGON_FAILURE
2097 31.580086000 192.168.0.83 192.168.0.10 SMB 162 Session Setup AndX Request, NTLMSSP_NEGOTIATE
2098 31.580400000 192.168.0.10 192.168.0.83 SMB 387 Session Setup AndX Response, NTLMSSP_CHALLENGE, Error: STATUS_MORE_PROCESSING_REQUIRED
2095 31.579296000 192.168.Client 192.168.DC01 SMB 514 Session Setup AndX Request, NTLMSSP_AUTH, User: XXX\AA
2096 31.579761000 192.168.0.10 192.168.0.83 SMB 93 Session Setup AndX Response, Error: STATUS_LOGON_FAILURE
2097 31.580086000 192.168.0.83 192.168.0.10 SMB 162 Session Setup AndX Request, NTLMSSP_NEGOTIATE
2098 31.580400000 192.168.0.10 192.168.0.83 SMB 387 Session Setup AndX Response, NTLMSSP_CHALLENGE, Error: STATUS_MORE_PROCESSING_REQUIRED
Sers,
Prüf mal bitte in der DNS Server Konsole ob noch irgendwelche Einträge zum alten "DC01" in den Unterordnern der Forward-Lookupzonen zu finden sind.
Einziger "legaler" Eintrag wenn keine DC oder DNS Rollen mehr auf DC01 liegen: deine.domain --> Name: DC01; Typ: Host (A); Daten: 192.168.XXX.XXX
Auch zu prüfen: Welche DNS Server sind auf DCneu eingetragen? Frägt der eventuell selbst noch bei DC01 zwecks DNS nach?
Stichworte wären hier IP Adresseinstellungen und in den Eigenschaften des DNS Servers die Weiterleitungen.
Grüße,
Philip
Prüf mal bitte in der DNS Server Konsole ob noch irgendwelche Einträge zum alten "DC01" in den Unterordnern der Forward-Lookupzonen zu finden sind.
Einziger "legaler" Eintrag wenn keine DC oder DNS Rollen mehr auf DC01 liegen: deine.domain --> Name: DC01; Typ: Host (A); Daten: 192.168.XXX.XXX
Auch zu prüfen: Welche DNS Server sind auf DCneu eingetragen? Frägt der eventuell selbst noch bei DC01 zwecks DNS nach?
Stichworte wären hier IP Adresseinstellungen und in den Eigenschaften des DNS Servers die Weiterleitungen.
Grüße,
Philip
Namenserver ist der DC02 und nirgends finde ich den alten DC01. Habe alle Ordner in der Konsole durchsucht. Der legale Eintrag ist vorhanden aber dieser ist nur für nslookup drin, sprich für die Namensauflösung.
Zitat von @neooen:
Namenserver ist der DC02 und nirgends finde ich den alten DC01. Habe alle Ordner in der Konsole durchsucht. Der legale Eintrag ist
vorhanden aber dieser ist nur für nslookup drin, sprich für die Namensauflösung.
Namenserver ist der DC02 und nirgends finde ich den alten DC01. Habe alle Ordner in der Konsole durchsucht. Der legale Eintrag ist
vorhanden aber dieser ist nur für nslookup drin, sprich für die Namensauflösung.
Ok. Hast du Loginskripte und GPOs überprüft? Könnten etwa Netzlaufwerke sein die nicht zugewiesen werden können und auf den Timeout des Servers gewartet werden muss.
War der alte DC ein "Generalserver" mit Datenfreigaben und GPO Installationsverzeichnissen? DFS Root der nicht übergeben wurde?
Genau, er war sozusagen ein Generalserver. Viele Aufgaben wurden auf andere Server übertragen. Das mit den Skripten werde ich mir morgen mal ansehen und morgen mal Bescheid geben was raus kam.
Hi,
hast Du auf den Arbeitsstationen vielleicht Netzwerkdrucker installiert, die es mit dem neuen DC nicht mehr gibt?
Viele Grüße
Dieter
hast Du auf den Arbeitsstationen vielleicht Netzwerkdrucker installiert, die es mit dem neuen DC nicht mehr gibt?
Viele Grüße
Dieter
Und was war jetzt die Lösung? Bzw. der Störenfried?
Grüße,
Philip
Grüße,
Philip
Habe noch ein paar Skripte gefunden aber leider kam ich heute überhaupt nicht dazu, sorry. Problem wird auf jeden Fall morgen nochmal angegangen!! Lösung werde ich auf jeden Fall auch hier Posten. Die Netzwerkdrucker auf den Arbeitstationen habe ich vor kurzer Zeit überarbeitet.
Zwei GPOs verweisen auf zwei Skripte welche wiederum auf den alten DC01 "zeigen", ich schätze dass da das Problem liegt, aber wie gesagt ich habe dieses nicht bearbeitet.
Zwei GPOs verweisen auf zwei Skripte welche wiederum auf den alten DC01 "zeigen", ich schätze dass da das Problem liegt, aber wie gesagt ich habe dieses nicht bearbeitet.
Hallo psannz, es waren wirklich die Skripte. Leider waren die vor meiner zeit schon da deshalb habe ich diese wohl regelrecht missachtet aber ich danke für eure Hilfe 
Nun konnte ich voll Stolz den alten DC01 in Rente schicken ;)
Nun konnte ich voll Stolz den alten DC01 in Rente schicken ;)
