4
Kann keine Rechner mehr in die Domäne heben
Hallo zusammen,
habe seit Tagen ein Problem in der Domain und komme nicht mehr weiter.
Kurz und knapp gesagt, kann ich keine Clients mehr in die Domain heben.
Wir haben ein Windows Netzwerk mit ActiveDirectory. Das läuft seit ca. 5 Jahren.
Seit einer Woche kann ich keine CLients mehr in die Domain heben, es kommt bei Client immer die Fehlermeldung:
Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\WINDOWS\debug\dcdiag.txt weiter.
Der Domänenname "FFM" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.
Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt, können folgende Information bei der Fehlersuche in der DNS-Konfiguration behilflich sein:
Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "FFM" verwendet wird, wurde ordnungsgemäß abgeschlossen:
Die Abfrage war für den SRV-Eintrag für _ldap._tcp.dc._msdcs.FFM
Die folgenden Domänencontroller wurde von der Abfrage identifiziert:
server_rat.ffm
server_ber.ffm
server_muc.ffm
server_ffm.ffm
Die häufigsten Ursachen dieses Fehlers sind:
- Host (A)-Einträge, die den Namen des Domänencontroller dessen IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen.
- Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt.
Mit Windows7 kommt beim Client noch die Meldung dazu, dass er keine Verbinung zum DC herstellen konnte.
Im Syslog stehen 2 INteressante einträge:
1: DNS 6702
2. NTDS Replication 1586
NSlookup funktioniert für die Domain und alle DCs.
dcdiag spuckt auch keine fehler aus.
Was ich bis jetzt gemacht habe. DNS aufgeräumt, Auf jedem DC die anderen DCs fest in die hosts eingetragen.
Könnt ihr mir weiterhelfen?
habe seit Tagen ein Problem in der Domain und komme nicht mehr weiter.
Kurz und knapp gesagt, kann ich keine Clients mehr in die Domain heben.
Wir haben ein Windows Netzwerk mit ActiveDirectory. Das läuft seit ca. 5 Jahren.
Seit einer Woche kann ich keine CLients mehr in die Domain heben, es kommt bei Client immer die Fehlermeldung:
Hinweis: Diese Informationen sind für einen Netzwerkadministrator bestimmt. Wenden Sie sich an den Netzwerkadministrator, wenn Sie kein Netzwerkadministrator sind, und leiten Sie die Informationen in der Datei C:\WINDOWS\debug\dcdiag.txt weiter.
Der Domänenname "FFM" ist möglicherweise ein NetBIOS-Domänenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.
Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domänennamen handelt, können folgende Information bei der Fehlersuche in der DNS-Konfiguration behilflich sein:
Die DNS-Abfrage über den Ressourceneintrag der Dienstidentifizierung (SRV), der zur Suche eines Domänencontrollers für die Domäne "FFM" verwendet wird, wurde ordnungsgemäß abgeschlossen:
Die Abfrage war für den SRV-Eintrag für _ldap._tcp.dc._msdcs.FFM
Die folgenden Domänencontroller wurde von der Abfrage identifiziert:
server_rat.ffm
server_ber.ffm
server_muc.ffm
server_ffm.ffm
Die häufigsten Ursachen dieses Fehlers sind:
- Host (A)-Einträge, die den Namen des Domänencontroller dessen IP-Adressen zuordnen, fehlen oder enthalten nicht die richtigen Adressen.
- Die in DNS registrierten Domänencontroller verfügen nicht über eine Netzwerkverbindung oder werden nicht ausgeführt.
Mit Windows7 kommt beim Client noch die Meldung dazu, dass er keine Verbinung zum DC herstellen konnte.
Im Syslog stehen 2 INteressante einträge:
1: DNS 6702
2. NTDS Replication 1586
NSlookup funktioniert für die Domain und alle DCs.
dcdiag spuckt auch keine fehler aus.
Was ich bis jetzt gemacht habe. DNS aufgeräumt, Auf jedem DC die anderen DCs fest in die hosts eingetragen.
Könnt ihr mir weiterhelfen?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 140811
Url: https://administrator.de/contentid/140811
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
was hast Du denn im DNS "aufgeräumt"? Sind die SRV Einträge alle korrekt? Sind die FSMO Rollen noch korrekt eingetragen?
Gruß, teaCHer
was hast Du denn im DNS "aufgeräumt"? Sind die SRV Einträge alle korrekt? Sind die FSMO Rollen noch korrekt eingetragen?
Gruß, teaCHer
Hi, danke für deine antwort.
DNS aufgeräumt:
Es gab alte Client einträge die komischerweise noch drin waren, diese habe ich entfernt.
Anschließend habe ich in _msdcs_ geschaut ob da alle DCs drin stehen. Wenn z.B. der SRV Eintrag einers DCs gefehlt hat, habe ich diesen nachgetragen. Teilweise stand auch ne veraltetete IP Adresse als A Eintrag drin, diese hab ich dann auch korrigiert.
Derzeit schau ich mir das ganze mal mit Wireshark an, die Auswertung dauert aber etwas.
EDIT
So hab mir das ganze mal etwas genauer über Wireshark angeschaut.
Ziemlich komisch
Also die Domain heisst FFM (ohne local, was mir der alte Admin eingebrockt hat)
Also ist der DNS Domain Name: FFM
Der Netbios Domain Name: FFM
Wenn ich der Domain FFM. beitreten möchte
Wenn ich mit dem Client der Domain beitreten möchte habe ich folgende Wireshark Aufzeichnungen
1 0.000000 192.168.50.68 192.168.50.200 NBNS Name query NB FFM.<1c>
2 0.000136 192.168.50.200 192.168.50.68 ICMP Destination unreachable (Port unreachable)
Wenn ich der Domain FFM beitreten möchte
4 0.306607 192.168.50.68 192.168.50.255 NBNS Name query NB FFM<1c>
5 0.306752 HewlettP_7e:e1:56 Broadcast ARP Who has 192.168.50.68? Tell 192.168.50.201
6 0.306771 UnexTech_01:46:23 HewlettP_7e:e1:56 ARP 192.168.50.68 is at 00:10:a7:01:46:23
7 0.306884 192.168.50.201 192.168.50.68 NBNS Name query response NB 192.168.50.201
8 0.306940 192.168.50.68 192.168.50.255 SMB_NETLOGON SAM LOGON request from client
9 0.307057 192.168.50.68 192.168.50.201 SMB_NETLOGON SAM LOGON request from client
13 7.797334 192.168.50.68 192.168.50.201 SMB_NETLOGON SAM LOGON request from client
15 10.750767 192.168.50.200 192.168.50.68 ICMP Destination unreachable (Port unreachable)
Das ganze probiert er dann paar mal und gibt mir dann am Client die Fehlermeldung, wie in Post 1 geschrieben.
Was mich ganz gewaltig wundert ist, dass er gar keine DNS Anfragen verschickt. Im gesamten Netz werden anscheinend 0 DNS Anfragen verschickt.
Ich bin echt mit meinem (halb)wissen am Ende.
PS: Die FSMO Rollen habe ich mir angeschaut, scheint alles korrekt zu sein.
DNS aufgeräumt:
Es gab alte Client einträge die komischerweise noch drin waren, diese habe ich entfernt.
Anschließend habe ich in _msdcs_ geschaut ob da alle DCs drin stehen. Wenn z.B. der SRV Eintrag einers DCs gefehlt hat, habe ich diesen nachgetragen. Teilweise stand auch ne veraltetete IP Adresse als A Eintrag drin, diese hab ich dann auch korrigiert.
Derzeit schau ich mir das ganze mal mit Wireshark an, die Auswertung dauert aber etwas.
EDIT
So hab mir das ganze mal etwas genauer über Wireshark angeschaut.
Ziemlich komisch
Also die Domain heisst FFM (ohne local, was mir der alte Admin eingebrockt hat)
Also ist der DNS Domain Name: FFM
Der Netbios Domain Name: FFM
Wenn ich der Domain FFM. beitreten möchte
Wenn ich mit dem Client der Domain beitreten möchte habe ich folgende Wireshark Aufzeichnungen
1 0.000000 192.168.50.68 192.168.50.200 NBNS Name query NB FFM.<1c>
2 0.000136 192.168.50.200 192.168.50.68 ICMP Destination unreachable (Port unreachable)
Wenn ich der Domain FFM beitreten möchte
4 0.306607 192.168.50.68 192.168.50.255 NBNS Name query NB FFM<1c>
5 0.306752 HewlettP_7e:e1:56 Broadcast ARP Who has 192.168.50.68? Tell 192.168.50.201
6 0.306771 UnexTech_01:46:23 HewlettP_7e:e1:56 ARP 192.168.50.68 is at 00:10:a7:01:46:23
7 0.306884 192.168.50.201 192.168.50.68 NBNS Name query response NB 192.168.50.201
8 0.306940 192.168.50.68 192.168.50.255 SMB_NETLOGON SAM LOGON request from client
9 0.307057 192.168.50.68 192.168.50.201 SMB_NETLOGON SAM LOGON request from client
13 7.797334 192.168.50.68 192.168.50.201 SMB_NETLOGON SAM LOGON request from client
15 10.750767 192.168.50.200 192.168.50.68 ICMP Destination unreachable (Port unreachable)
Das ganze probiert er dann paar mal und gibt mir dann am Client die Fehlermeldung, wie in Post 1 geschrieben.
Was mich ganz gewaltig wundert ist, dass er gar keine DNS Anfragen verschickt. Im gesamten Netz werden anscheinend 0 DNS Anfragen verschickt.
Ich bin echt mit meinem (halb)wissen am Ende.
PS: Die FSMO Rollen habe ich mir angeschaut, scheint alles korrekt zu sein.
Hallo,
Wenn kein DNS verwendet wird, versucht er das ganze über Netbios Broadcast bzw. WINS. Habt ihr irgendwo nen Wins-Server stehen in ner verstaubten Ecke, der kürzlich die Füsse hochgerissen hat oder zumindest seinen Dienst eingestellt hat?
Wenn dann aus welchen Gründen auch immer die NetbiosPorts von der Firewall geblockt werden, gibts genau solche lustigen Effekte...und keiner weiss wieso weil sich nach 10 Jahren keiner mehr an die alte Gurke erinnert. So einen ähnlichen Fall hatt ich jedenfalls vor kurzem bei einem Kunden, und irgendwie klingt es ähnlich.
Wenns das nicht ist, hat es offensichtlich entweder den Netlogon- oder den DNS-Dienst entschärft. Als allererstes würde ich den Netlogon-Dienst einmal sauber beenden (net stop netlogon) und wieder neu hochfahren (net start netlogon). Das hilft oft schon. Die Fehlermeldungen deuten auch erstmal auf ein Problem aus der Ecke hin.
Wenn das auch nicht hilft, das gesamte DNS auf Fehler überprüfen (doppelt eingetragene IPs und ähnliches). Am MSDCS fummle ich selber ungern rum, da hab ich bisher nur schlechte Erfahrungen gemacht.
Auf jeden Fall mal die Replikation überwachen, was genau aus dem DNS alles repliziert wird...und ob überhaupt.
Das wären so die ersten Sachen die mir spontan einfallen.
Wenn kein DNS verwendet wird, versucht er das ganze über Netbios Broadcast bzw. WINS. Habt ihr irgendwo nen Wins-Server stehen in ner verstaubten Ecke, der kürzlich die Füsse hochgerissen hat oder zumindest seinen Dienst eingestellt hat?
Wenn dann aus welchen Gründen auch immer die NetbiosPorts von der Firewall geblockt werden, gibts genau solche lustigen Effekte...und keiner weiss wieso weil sich nach 10 Jahren keiner mehr an die alte Gurke erinnert. So einen ähnlichen Fall hatt ich jedenfalls vor kurzem bei einem Kunden, und irgendwie klingt es ähnlich.
Wenns das nicht ist, hat es offensichtlich entweder den Netlogon- oder den DNS-Dienst entschärft. Als allererstes würde ich den Netlogon-Dienst einmal sauber beenden (net stop netlogon) und wieder neu hochfahren (net start netlogon). Das hilft oft schon. Die Fehlermeldungen deuten auch erstmal auf ein Problem aus der Ecke hin.
Wenn das auch nicht hilft, das gesamte DNS auf Fehler überprüfen (doppelt eingetragene IPs und ähnliches). Am MSDCS fummle ich selber ungern rum, da hab ich bisher nur schlechte Erfahrungen gemacht.
Auf jeden Fall mal die Replikation überwachen, was genau aus dem DNS alles repliziert wird...und ob überhaupt.
Das wären so die ersten Sachen die mir spontan einfallen.
Problem gelöst ;)
Danke alle die geholfen haben.
Bei uns lag es an folgendem:
Server hat 2 NICs.
192.168.50.200 und 192.168.50.201
die zweite hatten wir immer deaktiviert, nur seit kurzem aktiv.
Ein deaktivieren der 2. NIC hatte auch nichts gebracht.
Erfolg gabs erst als ich die IP Adressen der NICs getauscht hatte.
Keine Ahnung warum wieso und weshalb ;)
Danke alle die geholfen haben.
Bei uns lag es an folgendem:
Server hat 2 NICs.
192.168.50.200 und 192.168.50.201
die zweite hatten wir immer deaktiviert, nur seit kurzem aktiv.
Ein deaktivieren der 2. NIC hatte auch nichts gebracht.
Erfolg gabs erst als ich die IP Adressen der NICs getauscht hatte.
Keine Ahnung warum wieso und weshalb ;)
