8
Frage an AD-Profis zu grundsätzlichem (Verständnis-)Problem bei Benutzer-Authentifizierungsanfragen in Domänen mit 2-Domänencontroller
Was muss man genau beachten, damit in einer Domäne mit 2 Domänencontrollern, beide DCs voll funktionsfähig sind und beide Benutzer-Authentifizierungsanfragen korrekt beantworten?
Hallo zusammen,
also, ich habe schon die ein oder andere Domäne mit Exchange Server und Co. installiert. In den meisten Fällen waren es kleine Umgebungen mit nur zwei DCs.
Mir fällt auf, dass ich in einer Domäne mit 2 DCs ich ständig Probleme mit der Benutzerauthentifizierung habe, wenn der primäre DC (also derjenige auf dem das Active Directory zuerst installiert wurde und der Träger aller FSMO-Rollen ist) offline ist und nur noch der zweite DC online ist, der aber keine Rolle inne hat. Beide Server sind aber als Globaler Katalog. Trotzdem können sich etwa Benutzer am Webmailer oder Administratoren an den Servern nur dann anmelden, wenn der "primäre DC" mit allen Rollen online ist.
Gibt es für dieses Verhalten eine Erklärung? Habe ich hier eine essentielle Wissenslücke? Fehlt eine bestimmte Konfiguration oder gibt es in dieser 2-DC-Konstellation etwas besonderes zu beachten?
Meines Wissens nach werden die FSMO Rollen nur bei "größeren" Änderungen am AD gebraucht (etwa das Anlegen (vieler) neuer Objekte, Ändern der Betriebsmaster, Schemaerweiterungen, etc).
Ich beobachte das Problem auch nicht nur in einer Umgebung sondern in vielen. (beispielsweise 2003 als auch 2008 R2 Domäne).
Alle Server sind physikalisch und laufen auf Windows Server 2008 R2.
Hat jemand dieses Phänomen schonmal beobachtet?
Die Ereignisprotokolle geben für mein Verständnis keinen konkreten Hinweiß auf AD-Probleme - die Replikationen des AD funktionieren problemlos (GPOs werden beispielsweise problemlos repliziert).
Ich habe echt keine Ahnung woran das liegen könnte...
Ich freu mich auf eure Ideen - bin für jede gute Idee!
Greetz
Martin
Hallo zusammen,
also, ich habe schon die ein oder andere Domäne mit Exchange Server und Co. installiert. In den meisten Fällen waren es kleine Umgebungen mit nur zwei DCs.
Mir fällt auf, dass ich in einer Domäne mit 2 DCs ich ständig Probleme mit der Benutzerauthentifizierung habe, wenn der primäre DC (also derjenige auf dem das Active Directory zuerst installiert wurde und der Träger aller FSMO-Rollen ist) offline ist und nur noch der zweite DC online ist, der aber keine Rolle inne hat. Beide Server sind aber als Globaler Katalog. Trotzdem können sich etwa Benutzer am Webmailer oder Administratoren an den Servern nur dann anmelden, wenn der "primäre DC" mit allen Rollen online ist.
Gibt es für dieses Verhalten eine Erklärung? Habe ich hier eine essentielle Wissenslücke? Fehlt eine bestimmte Konfiguration oder gibt es in dieser 2-DC-Konstellation etwas besonderes zu beachten?
Meines Wissens nach werden die FSMO Rollen nur bei "größeren" Änderungen am AD gebraucht (etwa das Anlegen (vieler) neuer Objekte, Ändern der Betriebsmaster, Schemaerweiterungen, etc).
Ich beobachte das Problem auch nicht nur in einer Umgebung sondern in vielen. (beispielsweise 2003 als auch 2008 R2 Domäne).
Alle Server sind physikalisch und laufen auf Windows Server 2008 R2.
Hat jemand dieses Phänomen schonmal beobachtet?
Die Ereignisprotokolle geben für mein Verständnis keinen konkreten Hinweiß auf AD-Probleme - die Replikationen des AD funktionieren problemlos (GPOs werden beispielsweise problemlos repliziert).
Ich habe echt keine Ahnung woran das liegen könnte...
Ich freu mich auf eure Ideen - bin für jede gute Idee!
Greetz
Martin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 158931
Url: https://administrator.de/contentid/158931
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
Grundsätzlich sollte die Anmeldung weiterhin möglich sein. Nur bei einer längeren Offlinezeit könntest du Probleme bekommen. Wir haben hier ein paar DC's mehr aber mehr FSMO roles haben wir ja auch nicht.
Welche Meldung bekommst du denn, wenn du dich anmelden willst und der PDC offline ist?
Grüße Lenny
Grundsätzlich sollte die Anmeldung weiterhin möglich sein. Nur bei einer längeren Offlinezeit könntest du Probleme bekommen. Wir haben hier ein paar DC's mehr aber mehr FSMO roles haben wir ja auch nicht.
Welche Meldung bekommst du denn, wenn du dich anmelden willst und der PDC offline ist?
Grüße Lenny
Haben die Clients denn auch den 2. DC als DNS-Server eingetragen? Das ist notwendig.
Wir hatten gerade erst durch Hardwareausfall eine längere Downtime des DCs, keine Probleme mit dem zweiten (beide 2008).
Wir hatten gerade erst durch Hardwareausfall eine längere Downtime des DCs, keine Probleme mit dem zweiten (beide 2008).
die Clients melden sich doch immer bei dem ersten DNS Server der ihnen eingetragen ist. Wenn der DNS dem Client dann sagt das der DC1 für ihn als Anmeldeserver dient sucht der Client ´türlich auch nach dem.
Ist der nun nicht vorhanden braucht der Client eine Weile bis er auch schnallt - "frag noch Mal beim DNS nach welcher denn noch Anmeldeserver ist"
Das Problem kenne ich auch - wenn ich einen DC runterfahre braucht meine XP Maschine recht lange bis ich mich wieder anmelden kann. Meist muss ich es 3-4-5 mal versuchen bis meine Anmeldung wieder funktioniert.
Theoretisch sollte es also funktionieren ein ipconfig /flushdns zu starten und dann noch Mal prüfen an welchem DC ich nun angemeldet bin.
Also - DC aus - flushdns - PC neustarten - anmelden. Habe ich selbst noch nie getestet aber würde vielleicht Sinn machen ...
Ist der nun nicht vorhanden braucht der Client eine Weile bis er auch schnallt - "frag noch Mal beim DNS nach welcher denn noch Anmeldeserver ist"
Das Problem kenne ich auch - wenn ich einen DC runterfahre braucht meine XP Maschine recht lange bis ich mich wieder anmelden kann. Meist muss ich es 3-4-5 mal versuchen bis meine Anmeldung wieder funktioniert.
Theoretisch sollte es also funktionieren ein ipconfig /flushdns zu starten und dann noch Mal prüfen an welchem DC ich nun angemeldet bin.
Also - DC aus - flushdns - PC neustarten - anmelden. Habe ich selbst noch nie getestet aber würde vielleicht Sinn machen ...
Hi,
ich danke dir für deine Antwort!
Wenn ich mich anmelden möchte wartet man einfach nur: Der user beim Webaccess wartet und wartet und bekommt irgendwann vermutlich nen Abbruch durch einen Timeout. Bei Clients steht einfach nur ewig "Willkommen". Erst wenn der primäre DC wieder da ist, klappt der Login wieder. Im eventlog steht, dass kein Anmeldeserver zum Verarbeiten der Logindaten zur Verfügung stand.
Paradoxerweise meine ich, dass es aber schonmal funktioniert hat. Ich erinnere mich, dass der erste Login am Webmailer dann auch ungewöhnlich lange dauerte, es aber nach einer zeit klappte. Danach konnten weitere Clients sich wieder zügig anmelden.
Wir haben unsere ganze umgebung auch als testumgebung virtualisiert. Vielleicht macht es Sinn einmal testen, ob das Problem auch virtuell besteht...
Gruß
Martin
ich danke dir für deine Antwort!
Wenn ich mich anmelden möchte wartet man einfach nur: Der user beim Webaccess wartet und wartet und bekommt irgendwann vermutlich nen Abbruch durch einen Timeout. Bei Clients steht einfach nur ewig "Willkommen". Erst wenn der primäre DC wieder da ist, klappt der Login wieder. Im eventlog steht, dass kein Anmeldeserver zum Verarbeiten der Logindaten zur Verfügung stand.
Paradoxerweise meine ich, dass es aber schonmal funktioniert hat. Ich erinnere mich, dass der erste Login am Webmailer dann auch ungewöhnlich lange dauerte, es aber nach einer zeit klappte. Danach konnten weitere Clients sich wieder zügig anmelden.
Wir haben unsere ganze umgebung auch als testumgebung virtualisiert. Vielleicht macht es Sinn einmal testen, ob das Problem auch virtuell besteht...
Gruß
Martin
Hi,
ich danke auch dir für deine Antwort!
Ein zweiter DC ist vorhanden und auch überall eingetragen.
Hat deine Umgebung denn die gleiche Konstellation wie unsere? (beide GC? hat auch nur ein DC hat alle Rollen?)
Ich meine, dass es irgendwo mal ein Best Practise gab, wo man bestimmte Rollenverteilungen auf einer Domäne mit 2 DCs einhalten soll, die beide Globaler Katalog sind.
Gruß
Martin
ich danke auch dir für deine Antwort!
Ein zweiter DC ist vorhanden und auch überall eingetragen.
Hat deine Umgebung denn die gleiche Konstellation wie unsere? (beide GC? hat auch nur ein DC hat alle Rollen?)
Ich meine, dass es irgendwo mal ein Best Practise gab, wo man bestimmte Rollenverteilungen auf einer Domäne mit 2 DCs einhalten soll, die beide Globaler Katalog sind.
Gruß
Martin
Hi,
auch vielen Dank für deine Antwort!
Das klingt ähnlich wie bei mir. Hast du auch eine Umgebung wie ich mit 2 DCs von denen einer alle Rollen hat und beide GC sind?
Hast du irgendwelche Anpassungen nach der AD-Installation an den Rollenverteilung gemacht?
Gibt's vielleicht im DNS oder in den GPOs irgendwelche Settings mit denen man ein solches Timeout runtersetzen kann. Wenn ein DNS-Server nicht zu greifen ist würde ich erwarten, dass sofort der alternative DNS-Server gefragt wird.
offenbar scheinen ja auch nicht alle probleme damit zu haben.
Ich werde das gefühl nicht los, dass irgendeine grundsätzliche kleinigkeit bei uns fehlt...
Gruß
Martin
auch vielen Dank für deine Antwort!
Das klingt ähnlich wie bei mir. Hast du auch eine Umgebung wie ich mit 2 DCs von denen einer alle Rollen hat und beide GC sind?
Hast du irgendwelche Anpassungen nach der AD-Installation an den Rollenverteilung gemacht?
Gibt's vielleicht im DNS oder in den GPOs irgendwelche Settings mit denen man ein solches Timeout runtersetzen kann. Wenn ein DNS-Server nicht zu greifen ist würde ich erwarten, dass sofort der alternative DNS-Server gefragt wird.
offenbar scheinen ja auch nicht alle probleme damit zu haben.
Ich werde das gefühl nicht los, dass irgendeine grundsätzliche kleinigkeit bei uns fehlt...
Gruß
Martin
beide GC? hat auch nur ein DC hat alle Rollen?
Ja, genau wie bei Euch.
Hi,
vielleicht mal noch eine Kleinigkeit zum testen.
Wenn du bei einem Client ein nslookup auf den Domänennamen ( deine-domain.local )
machst, müssen die IPs beider DCs erscheinen.
Liegen die Profile der User auf dem Server oder liegen die lokal?
Wenn sie auf dem Server liegen, dann würde das auch die fast unmögliche Anmeldung erklären.
Ich glaube es gibt auch ein Timeout wie lange auf das Profil gewartet werden soll.
Zieh mal bei einem Client das Netzwerkkabel und probier dann mal die Anmeldung mit dem User der sich öfter am Rechner anmeldet oder einem der sich wenigstens vorher schonmal daran angemeldet hat. Das sollte recht schnell gehen.
Deswegen kann das nur an irgendeinem Netzwerktimeout liegen.
Gruß
Marcus
vielleicht mal noch eine Kleinigkeit zum testen.
Wenn du bei einem Client ein nslookup auf den Domänennamen ( deine-domain.local )
machst, müssen die IPs beider DCs erscheinen.
Liegen die Profile der User auf dem Server oder liegen die lokal?
Wenn sie auf dem Server liegen, dann würde das auch die fast unmögliche Anmeldung erklären.
Ich glaube es gibt auch ein Timeout wie lange auf das Profil gewartet werden soll.
Zieh mal bei einem Client das Netzwerkkabel und probier dann mal die Anmeldung mit dem User der sich öfter am Rechner anmeldet oder einem der sich wenigstens vorher schonmal daran angemeldet hat. Das sollte recht schnell gehen.
Deswegen kann das nur an irgendeinem Netzwerktimeout liegen.
Gruß
Marcus
