7
Stimmt die AD-Einbindung eines PCs? oder DCDiag für Client-PCs
Hallo zusammen,
ich habe hier ein merkwürdiges Verhalten der AD-eingebundenen PCs (Windows 10, Server 2012 R2) bei einigen - nicht allen - PCs scheint es Probleme mir der AD-Einbindung zu geben. Symptome sind v.a. Fehlermeldungen im Ereignisprotokoll. Funktionelle Probleme gibt es (noch) nicht, Zugriffe auf den DC (Netzwerk-Shares) funktionieren. Ich habe per GPO "Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen" auf 50 gesetzt, ich vermute mal, wenn die rum sind, wird's ungemütlich - oder auch nicht.
Im Ereignisprotokoll findet sich teilweise Windows-Time Fehler und Fehler mit der "User Device Registration".
Als Lösung habe ich momentan folgendes: Systemsteuerung - System: Ich ändere die Domäne von dns-name auf Netbios-name als MEINE.Dom.DE -> MEINE -> Neustart und die Fehler sind weg ohne andere Nebeneffekte. Damit bekomme ich das Problem offenbar gelöst. Quasi ein erneuter Domänen-Join ohne vorheriges verlassen der Domäne. Geht witzigerweise.
Meine Frage ist nun: Kann man für Client-PCs ähnlich DCDIAG überprüfen, ob die AD-Einbindung korrekt ist?
Ich habe versucht mittels Powershell Loginzeiten und Änderungszeiten abzufragen:
Funktioniert, allerdings korrespondieren diese Zeitstempel nicht mit dem Problem, ich kann daran nicht erkenne, welcher PC Probleme hat und welcher nicht.
Habt Ihr eine Idee?
Grüße
lcer
ich habe hier ein merkwürdiges Verhalten der AD-eingebundenen PCs (Windows 10, Server 2012 R2) bei einigen - nicht allen - PCs scheint es Probleme mir der AD-Einbindung zu geben. Symptome sind v.a. Fehlermeldungen im Ereignisprotokoll. Funktionelle Probleme gibt es (noch) nicht, Zugriffe auf den DC (Netzwerk-Shares) funktionieren. Ich habe per GPO "Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen" auf 50 gesetzt, ich vermute mal, wenn die rum sind, wird's ungemütlich - oder auch nicht.
Im Ereignisprotokoll findet sich teilweise Windows-Time Fehler und Fehler mit der "User Device Registration".
Als Lösung habe ich momentan folgendes: Systemsteuerung - System: Ich ändere die Domäne von dns-name auf Netbios-name als MEINE.Dom.DE -> MEINE -> Neustart und die Fehler sind weg ohne andere Nebeneffekte. Damit bekomme ich das Problem offenbar gelöst. Quasi ein erneuter Domänen-Join ohne vorheriges verlassen der Domäne. Geht witzigerweise.
Meine Frage ist nun: Kann man für Client-PCs ähnlich DCDIAG überprüfen, ob die AD-Einbindung korrekt ist?
Ich habe versucht mittels Powershell Loginzeiten und Änderungszeiten abzufragen:
get-ADComputer -Filter * -Properties * | Sort-Object Modified | ft Name, LastLogonDate, Modified | Out-File C:\temp\ComputerLastLogonDate.txtFunktioniert, allerdings korrespondieren diese Zeitstempel nicht mit dem Problem, ich kann daran nicht erkenne, welcher PC Probleme hat und welcher nicht.
Habt Ihr eine Idee?
Grüße
lcer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 353347
Url: https://administrator.de/contentid/353347
Ausgedruckt am: 22.11.2024 um 19:11 Uhr
7 Kommentare
Neuester Kommentar
Moin,
was sagt denn das Eventlog genau?
Anhand der Fehler kannst Du genauer eingrenzen wo Du anzusetzen hast.
Die Klassiker zum Thema GPO (Immer auf das Netzwerk warten etc) und W10 Neustart sind aktiv?
Gruss
was sagt denn das Eventlog genau?
Anhand der Fehler kannst Du genauer eingrenzen wo Du anzusetzen hast.
Die Klassiker zum Thema GPO (Immer auf das Netzwerk warten etc) und W10 Neustart sind aktiv?
Gruss
was sagt denn das Eventlog genau?
Anhand der Fehler kannst Du genauer eingrenzen wo Du anzusetzen hast.
Anhand der Fehler kannst Du genauer eingrenzen wo Du anzusetzen hast.
Ich will hier nicht das Problem identifizieren und lösen. Da bin ich schon dran und habe auch schon eine Idee.... Ursache war vermutlich ein Wechsel der CA und ein inkonsistentes Verteilen der Computerzertifikate. Das ist aber nebensächlich.
Ich finde es problematisch, dass mit diese Probleme quasi nur zufällig bei der eventlog-Analyse aufgefallen sind. Ich suche nach einer Möglichkeit die AD-Anbindung planmäig (per tool / Skript) zu prüfen. Am Server würde man ja beispielsweise dcdiag >> Datei und diese nach Fehlermeldung durchsuchen. Leider Geht dcdiag nicht auf dem PC.
Insbesondere geht es um:
besteht Zugriff auf den DC?
funktioniert Kerberos
funktioniert das AD-DNS aus Client-Sicht
funktioniert der Zugriff auf das AD
Das kann man natürlich alles irgendwie von Hand zusammenbasteln, aber ich wundere mich, dass es offenbar kein Pendant zu dcdiag zu geben scheint. Oder habe ich da eine völlig falsche Herangehensweise?
lcer
Hiho,
Zum Thema lastlogondate. Dieses Attribut wird zwischen den dcs nicht repliziert. Bedeutet, dass du alle dsc fragen musst und die "höchste Zeit" ermitteln musst um zu wissen, wann ein Client sich an der Domäne gemeldet hat.
Gibt glaube ich fertige Scripte im Netz, oder man schreibt schnell was selbst.
Besteht Zugriff auf den Dc:
Das bekommst du mit dem besagten lastLogonScript raus.
Funktioniert Kerberos:
Als schnellen Test würd ich den Client mal in eine neue Gruppe aufnehmen, darauf eine GPO filtern und schauen ob die GPO nach einem Reboot gezogen wird.
funktioniert das AD-DNS aus Client-Sicht:
Kannst du versuchen, indem du mal den client cache löschst und mal eine Zone aus dem DNS anpingst. Wenn der Client die Zone auflösen kann, sollte der Rest auch funktionieren. Hier kannst du aber auch netmon/wireshark einsetzen und dir den dns prozess anschauen.
Funktioniert der Zugriff auf das AD:
Merkwürdige Frage... ich denke, wenn die vorherigen Dinge passen, sollte das hier auch beantwortet sein.
Zum Thema lastlogondate. Dieses Attribut wird zwischen den dcs nicht repliziert. Bedeutet, dass du alle dsc fragen musst und die "höchste Zeit" ermitteln musst um zu wissen, wann ein Client sich an der Domäne gemeldet hat.
Gibt glaube ich fertige Scripte im Netz, oder man schreibt schnell was selbst.
Besteht Zugriff auf den Dc:
Das bekommst du mit dem besagten lastLogonScript raus.
Funktioniert Kerberos:
Als schnellen Test würd ich den Client mal in eine neue Gruppe aufnehmen, darauf eine GPO filtern und schauen ob die GPO nach einem Reboot gezogen wird.
funktioniert das AD-DNS aus Client-Sicht:
Kannst du versuchen, indem du mal den client cache löschst und mal eine Zone aus dem DNS anpingst. Wenn der Client die Zone auflösen kann, sollte der Rest auch funktionieren. Hier kannst du aber auch netmon/wireshark einsetzen und dir den dns prozess anschauen.
Funktioniert der Zugriff auf das AD:
Merkwürdige Frage... ich denke, wenn die vorherigen Dinge passen, sollte das hier auch beantwortet sein.
Hi,
Reset-ComputerMachinePassword
Wurden die Clients geklont?
E.
Ich habe per GPO "Interaktive Anmeldung: Anzahl zwischenzuspeichernder vorheriger Anmeldungen" auf 50 gesetzt, ich vermute mal, wenn die rum sind, wird's ungemütlich - oder auch nicht.
Nicht.Quasi ein erneuter Domänen-Join ohne vorheriges verlassen der Domäne. Geht witzigerweise.
Na dann vermute ich mal, dass Du einfach das Kennwort des Computerkontos zurücksetzen musst.Reset-ComputerMachinePassword
Meine Frage ist nun: Kann man für Client-PCs ähnlich DCDIAG überprüfen, ob die AD-Einbindung korrekt ist?
NetDiagWurden die Clients geklont?
E.
Na dann vermute ich mal, dass Du einfach das Kennwort des Computerkontos zurücksetzen musst.
Reset-ComputerMachinePassword
Hab ich gemacht, hatte keinen Erfolg, aber vielleicht habe ich auch nicht lange genug gewartet (Replikation)Reset-ComputerMachinePassword
Meine Frage ist nun: Kann man für Client-PCs ähnlich DCDIAG überprüfen, ob die AD-Einbindung korrekt ist?
NetDiagHab ich gemacht, hatte keinen Erfolg, aber vielleicht habe ich auch nicht lange genug gewartet (Replikation)
Das wird per dringender Benachrichtigung ASAP repliziert.Windows 10 hat kein Netdiag Dafür hat Microsoft das NDF erfunden
Netdiag kann man sich runterladen.Hab ich gemacht, hatte keinen Erfolg, aber vielleicht habe ich auch nicht lange genug gewartet (Replikation)
Das wird per dringender Benachrichtigung ASAP repliziert.Windows 10 hat kein Netdiag Dafür hat Microsoft das NDF erfunden
Netdiag kann man sich runterladen.Windows XP supporttools runtergeladen, exe entpackt, support.cab entpackt. alte netapi32.dll von XP-Rechner kopiert, zusammen mit netdiag.exe in ein Verzeichnis kopiert - klappt nicht - Fehlermeldung dll-Einsprungpunkt.
ich weiss gar nicht, ob "unsupported" hier noch der richtige Ausdruck für die Verwendung eine 15 Jahre alten Progamms ist.
Schön an der Doku zu Netdiag https://technet.microsoft.com/en-us/library/cc961395.aspx ist die Testauflistung, da wäre hier für mich besonders folgende Tests hilfreich gewesen:
DNS
DsGetDc
DcList
Trust
Kerberos
LDAP
Funktioniert der Zugriff auf das AD:
Merkwürdige Frage... ich denke, wenn die vorherigen Dinge passen, sollte das hier auch beantwortet sein.OK. ich schau mal weiter, vielleicht finde ich noch etwas.
