Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Ungewollte IP Änderung am DC sorgt für Probleme

Mitglied: thomas-99

thomas-99 (Level 1) - Jetzt verbinden

22.05.2019 um 08:20 Uhr, 1380 Aufrufe, 33 Kommentare, 3 Danke

Hallo Zusammen,

wir haben ein kleines Netz mit 5 verschiedenen VMs (DC, AD, Fileserver, Exchange, TK Anlage - alle W2k12R2). Es gab einen Crash. Alle VMs sind wieder Online und funktionieren. Der DC hatte allerdings eine falsche IP nach dem starten - keine Ahnung warum. Die IP ist wieder korrigiert und trotzdem funktioniert es nicht mehr korrekt. Clients können sich nicht anmelden, allerdings nicht alle. Und dann funktioniert der Login wieder. Wlan funktioniert auch nur bedingt. DECT Telefone finden keine Basis Station mehr, andere funktionieren.
Meine Vermutung ist der DC, hier stimmt etwas nicht. DHCP und DNS laufen, habe ich geprüft. Exchange läuft auch.

Wie kann ich diesen sporadischen Fehlern auf die Schliche kommen?

DANKE
Ciao Thomas
33 Antworten
Mitglied: brammer
22.05.2019 um 08:23 Uhr
Hallo,

bekommt der DC seine IP Adresse per DHCP??

brammer
Bitte warten ..
Mitglied: Kraemer
22.05.2019 um 08:33 Uhr
Moin,
Zitat von brammer:
bekommt der DC seine IP Adresse per DHCP??
oder dieser ist virtualisiert und hat eine "neue" Netzwerkkarte bekommen...

Kraemer
Bitte warten ..
Mitglied: St-Andreas
22.05.2019 um 08:48 Uhr
Hallo,

nun, als erstes die Logs prüfen?

Und auch mal den Switch checken.
Bitte warten ..
Mitglied: erikro
22.05.2019 um 08:49 Uhr
Moin,

Zitat von thomas-99:
wir haben ein kleines Netz mit 5 verschiedenen VMs (DC, AD, Fileserver, Exchange, TK Anlage - alle W2k12R2). Es gab einen Crash.

Kann passieren.

>Alle VMs sind wieder Online und funktionieren. Der DC hatte allerdings eine falsche IP nach dem starten - keine Ahnung warum.

Warum hast Du keine Ahnung, wie und warum der DC eine IP bekommt?

Die IP ist wieder korrigiert und trotzdem funktioniert es nicht mehr korrekt.

Wie wurde die IP korrigiert? Händisch eingetragen? Wurde auch geprüft, ob sie im DNS korrekt eingetragen ist? Was sagt ein nslookup auf den Namen des DC und auf den Namen der Domain?

Clients können sich nicht anmelden, allerdings nicht alle.

Clients? Oder User? Oder beide? Fehlermeldungen?

Und dann funktioniert der Login wieder. Wlan funktioniert auch nur bedingt.

Heißt genau was?

DECT Telefone finden keine Basis Station mehr, andere funktionieren.

Das äußerst sich wie? Und warum vermutest Du da, dass das was mit Deinem IT-Netz zu tun hat?

Meine Vermutung ist der DC, hier stimmt etwas nicht. DHCP und DNS laufen, habe ich geprüft. Exchange läuft auch.

Wie kommst Du auf diese Vermutung?

Wie kann ich diesen sporadischen Fehlern auf die Schliche kommen?

Mit systematischer Fehleranalyse. Bitte mehr Infos. Einträge in der Ereignissanzeige? ipconfig /all auf DC und auf Client? Fehlermeldungen? etc.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: thomas-99
22.05.2019 um 09:19 Uhr
Nein, alle IPs sind fest vergeben. DHCP ist nur für die Clients.
Alle VMs laufen wieder und der DC hat die korrekte IP.

Ciao Thomas
Bitte warten ..
Mitglied: Ganzjahresgriller
22.05.2019 um 09:34 Uhr
... und funktioniert die Namesauflösung?
Bitte warten ..
Mitglied: aqui
22.05.2019, aktualisiert um 09:51 Uhr
Und was bitte hat das WLAN mit einem gecrashten Microsoft Server zu tun ?? Das der von Geisterhand eine andere IP bekommt gehört sicher ins Reich der Märchen oder ist Grund einer fehlerhaften Konfiguration. Fehlerhafte dynamische IP statt statischer IP wie es für Server Usus ist.
Vermutlich wie immer: Dummes, flaches Netzwerk ohne Design und jegliche Segmentierung und irgendwo rennt da ein DHCP Server Amok und verbreitet Chaos mit Geräten und nicht passenden statischen IP Adressen oder sowas.
Wireshark ist dein Freund...!
Bitte warten ..
Mitglied: n.o.b.o.d.y
22.05.2019 um 10:05 Uhr
Zitat von thomas-99:

wir haben ein kleines Netz mit 5 verschiedenen VMs (DC, AD, Fileserver, Exchange, TK Anlage - alle W2k12R2).

Du schreibst, dass ihr 5 VMs haben: DC, AD, und weitere. Der DC (DomainController) ist aber der Server, der das AD (Active Directory) beherbergt. Irgendwie passt da was nicht zusammen.

Gruß

Ralf
Bitte warten ..
Mitglied: thomas-99
22.05.2019 um 10:08 Uhr
Hi Erik,
ich weiß nicht, warum die VM vom DC eine andere IP hatte. Die Logs geben nichts her. Ich sehe die Zeit Power Off wann es war und dann starteten alle Systeme. Alle Server haben eine feste IP.
Der DNS ist ok. nslookup habe ich auf allen Servern gestattet - die IP wird korrekt aufgelöst. Auch externe Adresse funktionieren.
Clients funktionieren - der Login klappt bei einigen, andere nicht. Der Exchange 2013 funktioniert und doch können manche User sich nicht anmelden. Es wird nach einem PW gefragt, mache Clients konnten eine Verbindung herstellen andere nicht. Es wird das PW immer wieder neu angefragt.
DECT Telefone funktionieren wieder. Die Stationen hatten teilweise eine falsche IP hinterlegt zum TK Server. TK macht eine andere Firma, dazu habe ich keine Logs usw.

Glaube noch immer, dass der DC einen Treffer hat. Ich bin auf dem DC mit VPN und RDP. RDP bricht immer mal ab, VPN nicht. Ich kann mich wieder anmelden, das kenne ich so nicht. Ein Ping von einem Client auf dem DC zeigt keine Unterbrechungen. Ein Ping vom DC auf eine externe IP zeigt Unterbrechungen - deswegen wird die Verbindung beendet. Ping vom Client auf eine externe IP zeigt keine Unterbrechungen. Daher scheidet der Provider aus. Ping vom Fileserver externe IP zeigt keine Unterbrechungen.

dcdiag zeigt einen Fehler - VerifyReferences

01.
 Starting test: VerifyReferences
02.
       [1] Problem: Erwarteter Wert nicht vorhanden.
03.
        Basisobjekt:
04.
       CN=NTDS Settings,CN=FIRMA-SRV,CN=Servers,CN=Default-First-S Sites,CN=Configuration,DC=FIRMA,DC=local
05.
        Beschreibung des Basisobjekts: "DSA-Objekt"
06.
        Attributname des Wertobjekts: serverReferenceBL
07.
        Beschreibung des Wertobjekts: "SYSVOL-FRS-Mitgliedsobjekt"
08.

09.
       [1] Problem: Erwarteter Wert nicht vorhanden.
10.
        Basisobjekt:   CN=FIRMA-SRV,OU=Domain Controllers,DC=firma,DC=local
11.
        Beschreibung des Basisobjekts: "DC-Kontoobjekt"
12.
        Attributname des Wertobjekts: msDFSR-ComputerReferenceBL
13.
        Beschreibung des Wertobjekts: "SYSVOL FRS-Mitgliedsobjekt"
ipconfig /all

01.
Windows-IP-Konfiguration
02.

03.
   Hostname  . . . . . . . . . . . . : FIRMA-SRV
04.
   Primäres DNS-Suffix . . . . . . . : firma.local
05.
   Knotentyp . . . . . . . . . . . . : Hybrid
06.
   IP-Routing aktiviert  . . . . . . : Nein
07.
   WINS-Proxy aktiviert  . . . . . . : Nein
08.
   DNS-Suffixsuchliste . . . . . . . : firma.local
09.

10.
Ethernet-Adapter Ethernet 3:
11.

12.
   Verbindungsspezifisches DNS-Suffix:
13.
   Beschreibung. . . . . . . . . . . : XenServer PV Network Device
14.
   Physische Adresse . . . . . . . . : 2E-5E-E4-25-A4-41
15.
   DHCP aktiviert. . . . . . . . . . : Nein
16.
   Autokonfiguration aktiviert . . . : Nein
17.
   IPv4-Adresse  . . . . . . . . . . : 192.168.0.1
18.
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
19.
   Standardgateway . . . . . . . . . : 192.168.0.254
20.
   DNS-Server  . . . . . . . . . . . : 192.168.0.1
21.
                                       127.0.0.1
22.
   NetBIOS über TCP/IP . . . . . . . : Deaktiviert
23.

24.
Tunneladapter isatap.{E2E2AA86-FAFE-4B3D-898D-1F29C110E2FE}:
25.

26.
   Medienstatus. . . . . . . . . . . : Medium getrennt
27.
   Verbindungsspezifisches DNS-Suffix:
28.
   Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
29.
   Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
30.
   DHCP aktiviert. . . . . . . . . . : Nein
31.
   Autokonfiguration aktiviert . . . : Ja
Error log bin ich noch dabei.

DANKE
Ciao Thomas
Bitte warten ..
Mitglied: SlainteMhath
22.05.2019, aktualisiert um 10:13 Uhr
Moin,

ganz schön wenig infos...

0)
Es gab einen Crash
Bedeutet was? Platten geschrottet -> Restore aus dem Backup? Stromausfall?

1)
Wie ist IP, Maske, DNS konofiguriert auf
a) Clients
b) den Servern
c) dem DC?

2)
Clients können sich nicht anmelden
Bedeutet was? Fehlermeldung? Eventlogeinträge?

3)
Auf dem DC schonmal dcdiag laufen lassen?

4)
DECT Telefone finden keine Basis Station mehr,
Das 100%ig nichts mit deinen Server/AD Problemen zu tun...

lg,
Slainte
Bitte warten ..
Mitglied: killtec
22.05.2019 um 11:20 Uhr
Hi,
Bezüglich Anmelden: Sind die Uhrzeiten auf allen Systemen korrekt und weichen nicht mehr als 5 Minuten voneinander / vom DC ab?

Gruß
Bitte warten ..
Mitglied: Deepsys
22.05.2019 um 12:08 Uhr
Hi,

sag mal, kann es sein das IPs doppelt vergeben sind?
Lösen alle Rechner auch die gleiche Ip vom DC auf?

VG,
Deepsys
Bitte warten ..
Mitglied: Ex0r2k16
22.05.2019 um 12:14 Uhr
Tippe auch auf doppelte IP.

Gerade eine 192.168.0.1 schreit ja förmlich nach "hiiier! Nimm mich! Ich bin billig und willig!"

Gateway ist wirklich 192.168.0.254 und nicht .1 ?
Bitte warten ..
Mitglied: Penny.Cilin
22.05.2019 um 12:26 Uhr
Zitat von Ex0r2k16:

Tippe auch auf doppelte IP.

Gerade eine 192.168.0.1 schreit ja förmlich nach "hiiier! Nimm mich! Ich bin billig und willig!"

Gateway ist wirklich 192.168.0.254 und nicht .1 ?
<Satire>
Passt doch Server und Gateway mit gleicher Adresse.
</Satireende>

Gruss Penny.
Bitte warten ..
Mitglied: Franz-Josef-II
22.05.2019 um 12:28 Uhr
DCDIAG am DC

Auf den nichtfunktionierenden Clients ergibt ein ipconfig -all welche Ausgabe? Sollten es einen IP-Konflikt geben, dann siehst Du es hier. Kontrolliere auch den DHCP. Möglicherweise spielt einer der APs DHCP? Hier siehst Du es.

Uhrzeit, auch ein guter Tip.
Bitte warten ..
Mitglied: Ex0r2k16
22.05.2019 um 13:06 Uhr
nochwas: Je nach Switches wird nach einem Stromausfall eine andere Config geladen, wenn die falsche Standard Config beim Bootup hinterlegt ist. Leider kann ja fast jeder billig Switch mittlerweile auch DHCP. Ziemlicher Fallstrick für Anfänger.


Zitat von Penny.Cilin:
<Satire>
Passt doch Server und Gateway mit gleicher Adresse.
</Satireende>
Gruss Penny.

<Satire>
Dann ist das Routing auch viel schneller wenn alles auf dem localhost intern abläuft
</Satire>

Gruß
Ex0r
Bitte warten ..
Mitglied: erikro
22.05.2019 um 13:36 Uhr
Moin,

Zitat von thomas-99:
ich weiß nicht, warum die VM vom DC eine andere IP hatte. Die Logs geben nichts her. Ich sehe die Zeit Power Off wann es war und dann starteten alle Systeme. Alle Server haben eine feste IP.

Heißt das, dass nach dem Absturz der DC eine andere feste IP eingetragen hatte, ohne dass jemand diese händisch geändert hat?

Liebe Grüße

Erik
Bitte warten ..
Mitglied: Pjordorf
22.05.2019 um 14:52 Uhr
Hallo,

Zitat von thomas-99:
ich weiß nicht, warum die VM vom DC eine andere IP hatte. Die Logs geben nichts her. Ich sehe die Zeit Power Off wann es war und dann starteten alle Systeme. Alle Server haben eine feste IP.
Und diese feste IP hat sich an allen geändert oder nur am DC (diese eine VM)? Was war denn die geänderte IP?

Der DNS ist ok.
Das heisst alle einträge im DNS wie geprüft? Cache bereinigt usw?

nslookup habe ich auf allen Servern gestattet
Wie macht man das denn? Bzw. wie macht ein nicht gestatten?

- die IP wird korrekt aufgelöst.
Wie wurde das bewerkstelligt? Server und VMs einfach neu gebootet? An jeder VM per Hand die IP geändert? Was ar denn die falsche IP?

DECT Telefone funktionieren wieder
DECT selbst hat mit IP Adressen null am Hut, bzw. kennt diese nicht.https://de.wikipedia.org/wiki/Digital_Enhanced_Cordless_Telecommunicatio ...
Ausser du meinst DECT over IP https://www.elektronik-kompendium.de/sites/net/0904221.htm und https://en.wikipedia.org/wiki/IP-DECT

Glaube noch immer, dass der DC einen Treffer hat. Ich bin auf dem DC mit VPN und RDP. RDP bricht immer mal ab, VPN nicht.
Nun, wer macht VPN und wer macht RDP?

Ich kann mich wieder anmelden, das kenne ich so nicht.
Das ist doch normal das man sich immer wieder anmelden kann.

Ein Ping von einem Client auf dem DC zeigt keine Unterbrechungen. Ein Ping vom DC auf eine externe IP zeigt Unterbrechungen
Einmal Traffiv´c im LAN und einmal Traffic im Internet, Das kannst du nicht miteinander vergleichen. Im LAN hast du die Kontrolle über allen Geräten. Im WAN kennst du noch nicht mal alle beteiligten.

- deswegen wird die Verbindung beendet.
Nur wenn dein Gegenspieler dieser Verbindung deine Externe IP ist die immer mal wieder abbricht.

Ping vom Client auf eine externe IP zeigt keine Unterbrechungen.
Lässt deinen DC im schlechten Licht darstehen

DNS-Server . . . . . . . . . . . : 192.168.0.1
127.0.0.1
Die 127.0.0.1 ist ein Idealer 2ter DNS

Gruß,
Peter
Bitte warten ..
Mitglied: rzlbrnft
22.05.2019, aktualisiert um 15:10 Uhr
Zu deinem DCDIAG Fehler schau dir mal folgenden Link an
https://www.mcseboard.de/topic/189636-dcdiag-frscomputerreferencebl/

Naheliegende Fehler wären:
DHCP Server ist nicht mehr im Active Directory freigegeben->Adressen werden nicht verteilt.
Das als erstes prüfen, mmc aufrufen, Autorisierte Server verwalten, alles alte rauslöschen, DC neu hinzufügen, ggf. Fehler analysieren falls welche auftreten. Wahrscheinlich passt dein Binding nicht mehr zum Netzwerkadapter des DC.

Zeitserver funktioniert nicht, daher Abweichungen der Zeit auf den Clients->Keine Anmeldung möglich.
Check mal mit Net time und w32tm ob die Zeit auf den Clients ordentlich mit dem DC synct, ohne das geht Kerberos nicht.

Exchange Error mit PW neu eingabe deutet darauf hin das dein Autodiscover nicht funktioniert. Check am Outlook Client mit Strg+Shift Rechtsklick auf dem Tray Symbol mal deine Autokonfiguration und schau ob die sauber durchläuft.
Ggf. läuft DNS aber dir fehlt der SRV Eintrag um den Autodiscover Dienst zu finden.

Zitat von Pjordorf:
Die 127.0.0.1 ist ein Idealer 2ter DNS

Wenn man sich auf dem DC befindet ist das sogar Windows Standard.

Zitat von aqui:
Und was bitte hat das WLAN mit einem gecrashten Microsoft Server zu tun ??

Das man Radius mit dem NPS Dienst von Windows macht ist nichts ungewöhnliches. Wenn dann ein Server crasht und das Passwort ist ein altes würde es nicht mehr funktionieren.
Bitte warten ..
Mitglied: thomas-99
25.05.2019 um 16:48 Uhr
Hallo Zusammen,

es ist alles ganz anders als vermutet und noch immer besteht der Fehler. Es gibt keine doppelten IPs und ähnliches. Alle Server haben unterschiedliche feste IPs.
Ich habe beim DC Aussetzer im Ping z.b. auf den Gateway. Ein andere VM (Exchange) hat keine Aussetzer im Ping auf den Gateway! Merkwürdig!
Auf der Konsole vom Hypervisor läuft der Ping auf den Gateway durch. Keine Aussetzer!
Damit ist der Switch nicht das Problem.
Wird noch besser, denn ein Ping vom Client auf dem DC läuft ebenfalls durch! Ping von anderem Server auf den DC laufen durch - keine Aussetzer.
Ich habe den DC2 auf einen anderen Hypervisor verschoben. Wollte eine Ausfallversicherung, falls der DC irgendwann keine Datenpakete mehr sendet.
Grundsätzlich läuft alles wieder, allerdings mit Aussetzern. In einer guten Phase klappt alles - eine Stunde - DNS funktioniert, Anmeldungen und Exchange ist verfügbar.
Dann kommt es zu den Aussetzern. Wenn der DC keine Anfragen beantwortet, dieser allerdings erreichbar ist, hat der DC2 keine Chance - als Failover? Der würde nur einspringen, wenn der DC tot ist?
Wie auch immer, der DC darf keine Aussetzer haben.
Ich weiß nicht, wie ich hier das eingrenzen kann und den Fehler finden soll? Es sind ja keine NICs - ist ja alles virtualisiert.

DANKE
Ciao thomas
Bitte warten ..
Mitglied: aqui
25.05.2019 um 17:01 Uhr
Merkwürdig!
Merkwürdigkeiten gibts eigentlich in der IT nicht...
Hast du diese Aussetzer nur wenn du via vSwitch, sprich also rein nur in der virtuellen Umgebung pingst und keine externe Switch bzw. Netzwerk Infrastruktur nutzt ?
Dann hast du in der Tat einen Fehler in der Hardware, eine Überlast auf dem Server der die Virtualisierung hält oder falsche virtuelle NIC Karten verwendet.
Was anderes bleibt ja nicht mehr über.
Bitte warten ..
Mitglied: thomas-99
25.05.2019 um 19:24 Uhr
Ja merkwürdig gibt es in der IT nicht und doch gibt es manchmal Eigenarten ... die nur schwer zu durchschauen sind.
Die Hardware - also der Server selber - hat zwei genutzte NICs, eine für die Verwaltung und der andere für den Zugriff auf die Infrastruktur.
Die Verwaltung ist hier außen vor.
Die andere NIC zeigt keine Unterbrechungen, wenn ich vom Hypervisor auf den Gateway einen Ping setze. Bedeutet, der Switch zwischen Server Hardware und Gateway einschließlich Patchkabel machen, was sie sollen. Selbst die anderen VMs (Exchange, Filierter usw.) haben keine Unterbrechungen zum Gateway. Der Ping von einem Client zum Gateway läuft ebenso.
Nur der DC hat diese Aussetzer. Ist die Frage, ob W2K12 (als Software auf den Hypervisor) einen Treffer hat oder vSwitch oder?
Die Last von dem Server liegt bei 30% im Schnitt, am Wochenende ehr bei 10%. Heute hat keiner gearbeitet = keine Last und doch gab es die Aussetzer. Habe die Treiber neu installiert, die NICs deaktiviert und neu eingerichtet, neue MAC Adressen ... hat alles nichts geholfen.
Mir gehen die Optionen aus ....
Bitte warten ..
Mitglied: St-Andreas
25.05.2019 um 19:36 Uhr
Debug logging für den vSwitch einschalten wâre eine Option
Bitte warten ..
Mitglied: Deepsys
27.05.2019 um 07:54 Uhr
Zitat von thomas-99:

Dann kommt es zu den Aussetzern. Wenn der DC keine Anfragen beantwortet, dieser allerdings erreichbar ist, hat der DC2 keine Chance - als Failover? Der würde nur einspringen, wenn der DC tot ist?
Dann fahre doch einfach mal DC1 herunter und gucke was passiert.
DC2 übernimmt dann ja normalerweise.

Wenn dann alles wieder läuft, setzt du einen DC auf ein aktuellerem Windows Server auf, später dann auch DC2 hochziehen und dann die AD-Struktur auch hochleveln.

VG,
Deepsys
Bitte warten ..
Mitglied: SlainteMhath
27.05.2019 um 08:35 Uhr
Hast du denn schonmal versucht, die NIC im DC zu entfernen und neu zu "installieren"? Ggfs. auch mal die Intetgrationstools (oder wir auch immer das sich bei XenServer nennt) neu zu installieren?

Nebenbei: Die Konfig für den DNS Client ist nicht ganz nach BP.. DNS 1 = "der andere DC", DNS 2 = "127.0.0.1" wäre korrekt.
Bitte warten ..
Mitglied: thomas-99
27.05.2019 um 19:32 Uhr
Habe die XenServer Tools deinstalliert und neu installiert. Habe den DC runter gefahren und dachte, der DC2 macht seinen Job. Falsch gedacht. DNS teilweise nicht erreichbar (DC ist ein anderer Server Hardware) Es wurde vorher alles repliziert, es gab keine Fehler. Und doch klappt es nicht wirklich zufriedenstellend.
DC wieder gestartet und es funktionierte - nicht lange. DC war Online, auf dem DC nslookup gestartet alles ok. Konnte alles auflösen auch externe Domains. Von den anderen Servern funktionierte es sporadisch. Ohne Änderungen war Zugriff von Servern auf den DC da und dann nicht mehr.
Ich habe nachgesehen, warum der Zugriff nicht möglich war. Teilweise waren UDP und TCP Ports nicht verfügbar.

01.
UDP port 137 (netbios-ns service)
02.
UDP port 138
03.
TCP port 42 (nameserver service)
04.
UDP port 88 (kerberos service)
05.
UDP port 53 (domain service)
Habe dann die FW deaktiviert auf allen Servern. Das brachte keine Änderung. Hat der Exchange eine Verbindung zum DC, klappt alles. Der Fileserver im selben vSwitch kommt plötzlich nicht zum DC durch. Es fehlen wieder Ports.
Warum diese Ports? Kann man Ports überwachen - kein Portscanner - mehr Monitoring auf Portebene?
Bringt ja nichts, die Ports zu überwachen. Die müssen erreichbar sein.
Weiß noch immer nicht, ob der DC den Ärger macht oder vSwitch oder Hypervisor oder?

Zitat von SlainteMhath:
Nebenbei: Die Konfig für den DNS Client ist nicht ganz nach BP.. DNS 1 = "der andere DC", DNS 2 = "127.0.0.1" wäre korrekt.

Am Client habe ich:
DNS1 = DC mit DNS
DNS2 = DC2
Und das über DHCP eingestellt. Wenn der Client den DC mit DNS nicht findet, soll er DC2 verwenden. Falsch?
Bitte warten ..
Mitglied: erikro
28.05.2019 um 09:03 Uhr
Moin,

Zitat von thomas-99:
Am Client habe ich:
DNS1 = DC mit DNS
DNS2 = DC2
Und das über DHCP eingestellt. Wenn der Client den DC mit DNS nicht findet, soll er DC2 verwenden. Falsch?

Wie jetzt? Du hast als zweiten DNS einen DC eingestellt, auf dem gar kein DNS läuft? Dann ist das kein Wunder, wenn nichts richtig geht.

Liebe Grüße

Erik
Bitte warten ..
Mitglied: SlainteMhath
28.05.2019, aktualisiert um 11:35 Uhr
Zitat von SlainteMhath:
Nebenbei: Die Konfig für den DNS Client ist nicht ganz nach BP.. DNS 1 = "der andere DC", DNS 2 = "127.0.0.1" wäre korrekt.

Am Client habe ich:
DNS1 = DC mit DNS
DNS2 = DC2
Und das über DHCP eingestellt. Wenn der Client den DC mit DNS nicht findet, soll er DC2 verwenden. Falsch?
Es geht nicht um die DNS Einstellungen an den Clients (die kannte ich ja bis eben nichtmal), sondern um die Einstellungen im DNS-Client des DCs

Nebenbei 2: DNS macht kein "klassisches" transparentes Failover. Wenn DNS1 nicht antwortet gibt's ne Fehlermeldung und dann wird DNS2 gefragt. Das dauert dann u.U. auch länger, da erst der timeout ablaufen muss etc.
Bitte warten ..
Mitglied: Pjordorf
LÖSUNG 28.05.2019 um 13:41 Uhr
Hallo,

Zitat von thomas-99:
Am Client habe ich:
Und das über DHCP eingestellt. Wenn der Client den DC mit DNS nicht findet, soll er DC2 verwenden. Falsch?
Du meinst sicherlich wenn der Client deinen DC1 nicht findet, soll er DC2 nutzen um die DNS auflösung zu machen. Aber auf DC2 ist kein DNS, Was soll dir das also bringen, ausser Timeouts? Oder soll, wenn dein Client den DC1 nicht findet (Warum sollte er den nicht finden?), dann den DNS 2 anfragen welcher auf irgendeine deiner Maschinen werkelt? Du weisst wie ein DNS arbeitet? Wenn dein DNS 1 sagt er hat für deine Anfrage (z.B. welche IP hat www.aldi.de) keine IP dann kommt es auf deine Konfiguration an wie weiter verfahren wird. Und bei dir steht ja als DNS die IP von DC 1 und als IP von DNS 2 eine Loopback 127.0.0.1 drin, also sollte dc 1 mit seinen DNS 1 offline sein wird DNS 2 sofort gefragt (aufgrund weil DC 1 und DNS 1 eben nicht am laufen sind). Sollte DC 1 mit DNS 1 aber laufen und dir sagen das es www.aldi.de nicht kennt, gibt es auch keinen Timeout weil deine DNS Anfrage ja korrekt beantwortet wurde, auch wenn dir die Antwort nicht gefällt - geantwortet hat er ja. Alles aus sicht eines Clients.
Und da auch im AD fast alles über Namensauflösungen läuft ist ein DNS notwendig und unerlässlich. Deshalb die Frage - warum keinen DNS auf DC 2? Es muss nicht zwingend ein MS DNS sein, kann auch ein Linux mit einen DNServer sein, aber ein MS DNServer macht alles was deine Domäne haben will, bei Linux musst du schon wissen was du alles per nad in dein DNServer eintragen musst damit es mit deiner Domäne klappt.
https://www.serverlab.ca/tutorials/linux/network-services/using-linux-bi ...
https://superuser.com/questions/247560/linux-dns-for-windows-domain
https://community.spiceworks.com/topic/575447-dns-on-linux-vs-windows

Gruß,
Peter
Bitte warten ..
Mitglied: thomas-99
29.05.2019 um 10:30 Uhr
>Wie jetzt? Du hast als zweiten DNS einen DC eingestellt, auf dem gar kein DNS läuft? Dann ist das kein Wunder, wenn nichts richtig geht.

Ja hatte ich versucht, den DC2 auf DC1 im DNS zu setzen. Das ist natürlich Unsinn. Habe das wieder geändert.


>Nebenbei 2: DNS macht kein "klassisches" transparentes Failover. Wenn DNS1 nicht antwortet gibt's ne Fehlermeldung und dann wird DNS2 gefragt. >Das dauert dann u.U. auch länger, da erst der timeout ablaufen muss etc.

Gibt es eine Möglichkeit den DNS (DC1) als echten Failover zu betreiben? Also Ausfall und sofort wird DC2 einbezogen?
Der Exchange will so garnicht mit dem DC2 arbeiten. Wenn ich den DNS auf DC2 ändere, stehen alle Räder still. Muss ich im Exchange den DC2 repetieren, autorisieren oder sonst welche Dinge tun? Habe dazu nichts gefunden.


Zitat von thomas-99:
Am Client habe ich:
Und das über DHCP eingestellt. Wenn der Client den DC mit DNS nicht findet, soll er DC2 verwenden. Falsch?
Du meinst sicherlich wenn der Client deinen DC1 nicht findet, soll er DC2 nutzen um die DNS auflösung zu machen. Aber auf DC2 ist kein DNS, Was soll dir das also bringen, ausser Timeouts? Oder soll, wenn dein Client den DC1 nicht findet (Warum sollte er den nicht finden?), dann den DNS 2 anfragen welcher auf irgendeine deiner Maschinen werkelt? Du weisst wie ein DNS arbeitet? Wenn dein DNS 1 sagt er hat für deine Anfrage (z.B. welche IP hat www.aldi.de) keine IP dann kommt es auf deine Konfiguration an wie weiter verfahren wird. Und bei dir steht ja als DNS die IP von DC 1 und als IP von DNS 2 eine Loopback 127.0.0.1 drin, also sollte dc 1 mit seinen DNS 1 offline sein wird DNS 2 sofort gefragt (aufgrund weil DC 1 und DNS 1 eben nicht am laufen sind). Sollte DC 1 mit DNS 1 aber laufen und dir sagen das es www.aldi.de nicht kennt, gibt es auch keinen Timeout weil deine DNS Anfrage ja korrekt beantwortet wurde, auch wenn dir die Antwort nicht gefällt - geantwortet hat er ja. Alles aus sicht eines Clients.
Und da auch im AD fast alles über Namensauflösungen läuft ist ein DNS notwendig und unerlässlich. Deshalb die Frage - warum keinen DNS auf DC 2? Es muss nicht zwingend ein MS DNS sein, kann auch ein Linux mit einen DNServer sein, aber ein MS DNServer macht alles was deine Domäne haben will, bei Linux musst du schon wissen was du alles per nad in dein DNServer eintragen musst damit es mit deiner Domäne klappt.

Ich weiß, wie eng AD und DC im DNS verankert sind. Der DC2 hat einen DNS Server, der auch funktioniert und nslookup alles korrekt wiedergibt. Der DC1 ist ist zu keiner zeit Offline. Ein Server ist mit dem DNS verbunden, der andere zeigt "unbekannt" im nslookup. Alle sind verbunden über feste IPs und durchweg per Ping zu erreichen.
Aber wie schon geschrieben, sind die Ports vom DC1 nicht verfügbar. Warum? Das verstehe ich nicht. Keine Firewall funkt dazwischen. Ich ändere nichts, frage über nslookup den Staus ab, Fileserver alles i.O., Exchange keine Verbindung. Teste ich die Ports, sind diese vom Exchange nicht nicht erreichbar. Und dann ohne Änderungen sind sie wiederverfügbar.
Wichtig wäre es, wenn ich den Exchange auf den DNS2 vom DC2 umstelle und den DC1 ausführlich zu testen.
Hat jemand eine Idee?

DANKE
ciao thomas
Bitte warten ..
Mitglied: Pjordorf
29.05.2019 um 11:10 Uhr
Hallo,

Zitat von thomas-99:
Gibt es eine Möglichkeit den DNS (DC1) als echten Failover zu betreiben? Also Ausfall und sofort wird DC2 einbezogen?
Ja.

Ich weiß, wie eng AD und DC im DNS verankert sind. Der DC2 hat einen DNS Server, der auch funktioniert
Sagst du nicht selbst das DC 2 keinen DNServer hat?

Ein Server ist mit dem DNS verbunden, der andere zeigt "unbekannt" im nslookup.
Im nslookup? Schau mal warum nslookup unbekannt sagt (Das ist nichts um sich sorgen zu machen)

Aber wie schon geschrieben, sind die Ports vom DC1 nicht verfügbar. Warum?
Wie und womit hast du festgestellt das vom DC1 die Ports (Welche) nicht verfügbar sind? Ist aber dann ein ganz anderes zusätzliches Problem.

frage über nslookup den Staus ab, Fileserver alles i.O., Exchange keine Verbindung. Teste ich die Ports, sind diese vom Exchange nicht nicht erreichbar. Und dann ohne Änderungen sind sie wiederverfügbar.
!?!

Wollte eine Ausfallversicherung
Dann geh zum Versicherungsmakler.

Kann es sein das du nicht das Wissen hast um hier gezielt vorzugehen, oder zu Erkennen was du wo Einstellst und warum es dann irgendwie etwas zerbröselt? Nicht Büse sein, aber wäre es nicht hilfreicher wenn sich das jemand vor Ort mit dir zusammen anschaut und von dem du abgucken kannst?

Gruß,
Peter
Bitte warten ..
Mitglied: SlainteMhath
29.05.2019 um 11:24 Uhr
Evtl. ist das ein Problem mit deinem Hypervisor...
=> dort schonmal Logs geprüft? Firewall-einstellungen gecheckt? Ggfs. mal einen komplett neuen vSwitch eingerichtet und die Gäste mit dem verbunden?

Oder ein L2 Problem in deinem Netzwerk?
=> Was sagen denn die Logs von deinem Hardware-Switch(en) an den(en) der/dir Hypervisor(en) hängen?

Kann auch sein das an dem DC(1?) der tcp Stack mal einen Reset braucht... findet man über google

Ein Server ist mit dem DNS verbunden, der andere zeigt "unbekannt" im nslookup.
Du solltest echt mal versuchen dich technisch korrekt auszudrücken... was bedeutet denn "mit dem DNS verbunden"?? und bei welcher Gelgenheit zeigt "der andere" "unbekannt!"??

Ok, mach mal folgendes auf BEIDEN DCs

1) ein "ipconfig /flushdns" und dann ein "ipconfig /registerdns"
2) nslookup <fqdn deiner AD Domäne>
3) dcdiag

Und dann bitte das (anonymisierte) Ergebnis von 2) und 3) posten. Bei 3 bitte nur die Fehler die aufgetreten sind.
Bitte warten ..
Mitglied: thomas-99
29.05.2019 um 17:07 Uhr
OK, es war alles etwas ganz anderes! Ein defekter Treiber hatte stellenweise für eine Auslastung von 100% erzeugt!!!!!
Der Server hat versucht einen Treiber zu laden, was nicht klappte. Dadurch wurde der RAM voll ausgelastet und der DC war bei 100% CPU.
Offensichtlich hat W2K12 diese Auslastung alleine zurückgesetzt und der Server war bei 5%.
Immer wenn der Server bei 100% war, konnte er keine DNS Anfragen beantworten, AD war nicht erreichbar, Ports geschlossen usw.
Wenn der Server das unterbrochen hat, lief er wieder. .... bis er wieder bei 100% war und von vorn. Ich habe den Dienst angehalten und seit dem ist Ruhe.

So einfach ..... und doch so kompliziert!

Danke euch für eure Hilfe!!
Ciao thomas
Bitte warten ..
Ähnliche Inhalte
Windows Server
Seit IP Umstellung DC DNS Fehler
gelöst Frage von YaimaelWindows Server30 Kommentare

Hallo zusammen, wir haben seit der IP-Umstellung unseres DC Probleme im DNS evtl. auch seit dem Upgrade von 2012 ...

Windows Server
Neuer DC mit gleicher IP Adresse
gelöst Frage von chb1982Windows Server12 Kommentare

Hallo zusammen, großes Drama! Ich habe ein Setup aus einem SBS und einem 2012R2 AD. Der 2012 wurde per ...

Apache Server

Httpd sorgt für 100 Prozent CPU Last

gelöst Frage von CitronellaApache Server7 Kommentare

Hallo allerseits, es besteht ein größeres Problem mit unsrem Apache: - Windows Server 2012 R2 - Apache 2.4 - ...

Outlook & Mail

Outlook 2010: "Privat" bei Adresse ungewollt voreingestellt

Frage von alhambraOutlook & Mail1 Kommentar

Hallo zusammen, einer unserer User hat versehentlich alle seine Kontakte gelöscht (Outlook 2010 in Verbindung mit Exchange 2010 SP2). ...

Neue Wissensbeiträge
Windows 10
Windows 10: Netzwerk zeigt Fehler 0x80070035
Tipp von anteNope vor 2 StundenWindows 105 Kommentare

Moin zusammen, ich hatte gerade mal wieder das Vergnügen mit dem obigen Fehler. Unter Borns Blog ist das beschreiben: ...

Windows 10

Bug: Windows 10 Enterprise LTSC erhält Funktionsupdate angeboten

Information von kgborn vor 19 StundenWindows 104 Kommentare

Der Fehler ist mittlerweile zwar korrigiert, aber ich denke, ich stelle die Info doch mal hier für Leute ein, ...

Viren und Trojaner

Entschlüsselungs-Tool für aktuelle GandCrab-Version verfügbar

Information von MrCount vor 1 TagViren und Trojaner

Für alle Betroffenen gibt es offenbar ein Tool zur Entschlüsselung. Dann wird wohl die nächste version von GandCrap nicht ...

LAN, WAN, Wireless
Sophos RED50 stürzt ab und ist danach tot
Information von Ex0r2k16 vor 4 TagenLAN, WAN, Wireless3 Kommentare

Hey, nach meinem Thread bin ich durch Zufall auf das hier gestoßen: Also wenn ihr UTMs und RED50's im ...

Heiß diskutierte Inhalte
Viren und Trojaner
Gefahr - Risiko zwischen doc xls und docx xlsx
Frage von Asker06Viren und Trojaner33 Kommentare

Guten Tag, ich wollte wissen ob die .doc und .xls datein viel gefährlicher sind als .docx und .xlsx?? Ich ...

Sicherheit
Wie sichert (verschlüsselt) ihr eure Passwörter ?
gelöst Frage von decehakanSicherheit20 Kommentare

Hallo Admins, Mittlerweile hat man für jeden Dienst seine Zugangsdaten, sei es Amazon, Bank, FB, etc , vor allem ...

Windows Netzwerk
Standardgateway bei Clients mit statischer IP Adresse ändern
Frage von sammy65Windows Netzwerk19 Kommentare

Hallo miteinander, Wie kann ich über eine GPO die Standardgateway an meinen Clients ändern? Ich habe das versucht?: Es ...

Netzwerkmanagement
VLAN zwischen HP Switchen
gelöst Frage von SykoNFNetzwerkmanagement16 Kommentare

Moin Moin, ich versuche eine ganz einfachen Aufbau von VLAN zu erreichen. Ich habe zwei Switche, HP 1920-48G und ...