Falscher Logonserver trotz Standortkonfiguration
Hallo Zusammen,
folgendes Thema:
Wir haben am Standort (Lokal) einen Domänencontroller "DC1". Ein zweiter ("PDC") wurde an einem Remotestandort (Rechenzentrum) installiert.
Das RZ ist per VPN an den lokalen Standort angebunden. AD-Replikation funktioniert.
In AD-Standorte und Dienste sind die Physischen Standorte inkl. der Subnetze abgebildet und entsprechend angelegt. Die DCs entsprechend zugewiesen.
Auf den DC im RZ sollten die FSMO Rollen übertragen werden. das hat auch soweit funktioniert.
Mein Problem ist nun (ja ich habe lange genug gewartet, 36 Stunden sollten da ja reichen):
Im RZ laufen im gleichen Subnetz noch andere Server. Gebe ich echo %logonserver% auf jedem der RZ-Server ein, kommt der Lokale "DC1" (außer beim "PDC" im RZ selbst).
Im DNS sind die SRV Einträge der Sites entsprechend passend konfiguriert, daran sollte es daher eigentlich nicht liegen.
Was sehr interessant ist: Schalte ich den lokalen "DC1" ab und reboote einen einen RZ-Server, zeigt er bei Logonserver immernoch "DC1" an (den er ja gar nicht erreichen kann eigentlich)...
Weiß einer, was hier schief läuft? Ist die Logonservervariable vielleicht einfach falsch? Muss/Kann man das korrigieren?
Grüße
Ketanest
folgendes Thema:
Wir haben am Standort (Lokal) einen Domänencontroller "DC1". Ein zweiter ("PDC") wurde an einem Remotestandort (Rechenzentrum) installiert.
Das RZ ist per VPN an den lokalen Standort angebunden. AD-Replikation funktioniert.
In AD-Standorte und Dienste sind die Physischen Standorte inkl. der Subnetze abgebildet und entsprechend angelegt. Die DCs entsprechend zugewiesen.
Auf den DC im RZ sollten die FSMO Rollen übertragen werden. das hat auch soweit funktioniert.
Mein Problem ist nun (ja ich habe lange genug gewartet, 36 Stunden sollten da ja reichen):
Im RZ laufen im gleichen Subnetz noch andere Server. Gebe ich echo %logonserver% auf jedem der RZ-Server ein, kommt der Lokale "DC1" (außer beim "PDC" im RZ selbst).
Im DNS sind die SRV Einträge der Sites entsprechend passend konfiguriert, daran sollte es daher eigentlich nicht liegen.
Was sehr interessant ist: Schalte ich den lokalen "DC1" ab und reboote einen einen RZ-Server, zeigt er bei Logonserver immernoch "DC1" an (den er ja gar nicht erreichen kann eigentlich)...
Weiß einer, was hier schief läuft? Ist die Logonservervariable vielleicht einfach falsch? Muss/Kann man das korrigieren?
Grüße
Ketanest
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 456913
Url: https://administrator.de/forum/falscher-logonserver-trotz-standortkonfiguration-456913.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @ketanest112:
Ein zweiter ("PDC") wurde an einem Remotestandort (Rechenzentrum) installiert.
Nur als Info: Einen PDC gibt es seit Server 2000 nicht mehr. ES ist ein DC und alle DCs sind gleichwertig. Nur dessen Konfiguration entscheided darüber was dieser DC denn dann Tuen soll.Ein zweiter ("PDC") wurde an einem Remotestandort (Rechenzentrum) installiert.
Im RZ laufen im gleichen Subnetz noch andere Server. Gebe ich echo %logonserver% auf jedem der RZ-Server ein, kommt der Lokale "DC1" (außer beim "PDC" im RZ selbst).
Du weißt das der Server gewinnt der am schnellsten Antwortet?Was sehr interessant ist: Schalte ich den lokalen "DC1" ab und reboote einen einen RZ-Server, zeigt er bei Logonserver immernoch "DC1" an (den er ja gar nicht erreichen kann eigentlich)...
Dein DC1 mag nicht erreichbar sein (Ausgeschaltet), aber da scheinen zwischengespeicherte Anmeldedaten vorzuliegen (Normales verhalten damit man sich auch z.B. mit ein Laptop in seiner gewohnten Umgebung befindet wenn der DC nicht erreichbar ist. Geht aber nur wennn sich dieser Client und Benutzer zuvor mindesten 1 mal Erfolgreich Verbinden konnte.Weiß einer, was hier schief läuft? Ist die Logonservervariable vielleicht einfach falsch?
Eigentlich nicht wenn due die nicht per Skript oder sonstwie veränderst.Muss/Kann man das korrigieren?
Die Logonservervariable? Nee. Aber dein DC verhalten bzw. wo kann sich ein Client erfolgreich anmelden wenn dein DC down ist. Di sagtest es gibt noch mehr Server dort. Es reicht nicht Server zu haben, es müssen dann schon DCs sein.Und die Replikation muss stimmen usw. Mal DCDiag laufen lassen?Gruß,
Peter
Hallo,
Gruß,
Peter
Zitat von @ketanest112:
Das ist mir durchaus bewusst, er hat nur die FSMO Rollen inne, etc. daher wurde er so benannt. "PDC" auch deshalb in "" weil es der Hostname ist.
Dann sage uns auch das das nur ein willkürlich gewählter Hostname ist.Das ist mir durchaus bewusst, er hat nur die FSMO Rollen inne, etc. daher wurde er so benannt. "PDC" auch deshalb in "" weil es der Hostname ist.
Ja, das sollte aber am dann der sein, der am selben Standort ist (in der theorie), da durch die Standortvernetzung (VPN) ja eine Verzögerung entsteht. (Ping des DC am gleichen Standort <1ms, Ping des anderen DCs 15-25 ms).
Es gab und gibt viele Theorien (mögen die noch so gut sein) die sich im Praktischen Betrieb nicht an die Theorezischen Regeln gealten haben.Okay, ist mir durchaus bewusst, aber wenn ein DC zum anmelden da ist (in diesem Fall dann der "PDC"), sollte er doch den nehmen, egal ob er gecached hat oder nicht...
Sollte - sollte. Und wenn der PDC es aufgrund von Problemen oder Fehlfunktionen nicht kann / tut?Nein, es sollte pro Standort/Subnetz einen DC geben. Die "anderen" Server im RZ sind reine Applikationsserver.
Dann hast du was falsches Konfiguriert.Wie genau konfiguriert man das "wo kann sich ein Client erfolgreich anmelden, wenn mein DC down ist"?
Das macht der Client schon wenn er einen zuständigen DC erreichen kann. Stndard.Ich meine, es stört mich jetzt nicht groß, mich hat es nur gewundert, dass dann doch der "langsamere" DC gewonnen hat.
Dann ist etwas falsch Konfiguriert.In Zeiten der Glasfaservernetzung ist das mit ~25ms Ping eh unerheblich aber es entsteht halt vermeidbarer Traffic, denke ich mir.
Ja.Gruß,
Peter
Hallo,
Da dann ansetzen und bereinigen. Erst dann wird es evetl Funktionieren. Beim Server bin ich mir nicht sicher ob der ald DC in eine Domäne gebracht werden kann wenn diese auf ein 2012R2 basiert.
Gruß,
Peter
Da dann ansetzen und bereinigen. Erst dann wird es evetl Funktionieren. Beim Server bin ich mir nicht sicher ob der ald DC in eine Domäne gebracht werden kann wenn diese auf ein 2012R2 basiert.
DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
Solltest du prüfen ob deine Kombi passt bzw. rennen kann.Also irgendwas passt dann wohl doch nicht...
Scheint einiges zu sein. Die Ereignissprotokolle liefern dir mehr Infos.Könnte es an IPv6 liegen?
Könnte, muss aber nicht.Im DNS sind für die Clients/Sever am lokalen Standort IPv6 Adressen
Dann beschäftige dich mal mit IPv6 oder lass nur IPv4 zu (Sofern dass noch bei dir geht Server 2012R2 ja, Server 2019 nein.)Hab auch grad nochmal die Firewallregeln angeschaut. Vom RZ-Netz .11.0/24 ins Lokale Netz .10.0/24 ist alles freigegeben (IPv4, alle Protokolle, alle Ports). Umgekehrt genauso.
Ein Wireshark hilft dir deine Vermutungen in Gewissheit zu wandeln.Gruß,
Peter