none
Anmeldung am RODC nicht von allen Clients möglich. RRS feed

 > 

  • Allgemeine Diskussion

  • Discussion
    Anmelden
    1
    Anmelden

    hallo

    wir haben folgendes Problem
    Ich habe an einer außenstelle wo ein RODC steht ein DMZ Netz in dem clients sind. Die Netzwer sind mit einer Firewall getrennt(Ports für Clients <-> RODC sind offen).

    Mein Problem ist nun, das ich eine neue Server 2008 R2 VM, die im Client Netz ist, problemlos mittels DJOIN in die Domäne aufnehmen kann und auch die authentifizierung problemlos funktioniert. Nehme ich aber eine vorhandene VM aus dem Client Netz in die Domäne auf, geht dies zwar, aber nach der Anmeldung kommt in der Log der Fehler: 

    Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Benutzername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben: 
    a) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller. 
    b) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

    Ebenso dauert die Anmeldung länger bei "Benutzereinstellungen werden übernommen"

    Ebenso kann ich die Gruppen und AD Benutzer von diesem client aus nicht auflösen.

    Es sind beides Windows Server 2008 R2 und die wurden beide mit der gleichen Methode in die Domäne aufgenommen und sind beide im gleichen Netz. Wie kann ich nun in diesem Bereich die AD Verbindung testen?

    Die AD Struktur ist wie folgt.



    Dienstag, 27. Januar 2015 08:22
    |

Alle Antworten

  • Discussion
    Anmelden
    0
    Anmelden

    Update

    ein Test ergab das ich von diesem client keine telnet verbidnung zum RODC mit port 53 (DNS) herstellen kann. mit den anderen clients geht es.

    die DNS Settings in der Netzwerkkarte sind gleich. Auch die lokale Firewall ist auf allen Clients deaktiviert.
    In der Host Datei ist auch nichts hinterlegt.

    Dienstag, 27. Januar 2015 09:35
    |
  • Discussion
    Anmelden
    1
    Anmelden
    > ein Test ergab das ich von diesem client keine telnet verbidnung zum
    > RODC mit port 53 (DNS) herstellen kann. mit den anderen clients geht es.
     
    Und was sagt die Firewall am RODC dazu?
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 27. Januar 2015 11:48
    |
  • Discussion
    Anmelden
    0
    Anmelden
    auch da ist die lokale firewall deaktiviert
    Dienstag, 27. Januar 2015 12:08
    |
  • Discussion
    Anmelden
    0
    Anmelden
    > auch da ist die lokale firewall deaktiviert
     
    Ping geht? HW-Firewalls dazwischen?
     
    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Dienstag, 27. Januar 2015 12:10
    |
  • Discussion
    Anmelden
    0
    Anmelden

    da ist eine HW Firewall dazwischen(siehe bild oben - net firewall)

    ich vermute das dort noch eine Regel falsch ist, hier muss ich aber auf den ServiceProvider warten da extern gehostet.

    Gibt es sonst noch möglichkeiten lokal auf den maschinen rauszufinden ob es wirklich an der HW firewall liegt.

    Wie gesagt Telnet vom client auf den RODC mittels port 53 habe ich schon probiert und das geht nicht.

    Dienstag, 27. Januar 2015 12:14
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Hi,

    Telnet geht via TCP, laut deinem Bild ist aber nur Port 53 UDP freigeschaltet.
    DNS nutzt für die Auflösung mW auch nur UDP. Also teste nochmal den Port auf UDP, bspw. mit der portqry.exe:

    http://support2.microsoft.com/kb/310099/en-us


    Gruß
    Lennart

    Dienstag, 27. Januar 2015 12:45
    |
  • Discussion
    Anmelden
    1
    Anmelden


    anbei noch die info

    Ping geht von diesem client richtung RODC auch nicht, von den anderen clients aber schon
    wenn ich jedoch auf die IP des RODC pinge, geht dies!

    wenn ich mittesl portqry udp 53 teste geht es mit dem namen nicht aber auf ip ebene geht es.

     IP = return code 0x00000000.

    Name = Failed to resolve name to IP address  UDP exits with return code 0x00000063.

    ein nslookup gegenüber dem RODC löst aber richtig auf!




    • Bearbeitet Steven86 Dienstag, 27. Januar 2015 13:09
    Dienstag, 27. Januar 2015 12:53
    |
  • Discussion
    Anmelden
    0
    Anmelden

    ping geht jetzt auf einmal

    aber portqry löst den dns namen immernoch nicht auf. neustart wurde bereits gemacht. mir gehen die ideen aus.

    Dienstag, 27. Januar 2015 14:35
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Also ich konnte das Problem weiter eingrenzen.

    wenn ich am netzwerkadapter ipv6 aktiviere geht umgehend danach portquery als auch die domänen authentifizierung

    nach ca einigen minuten ist dann aber wieder schluss.
    Deaktiviere ich ipv6 dann wieder, geht es wieder für kurze zeit und dann ist schluss.

    Ich vermute der ip Stack bzw. der Netzwerkadapter/treiber macht die probleme

    Mittwoch, 28. Januar 2015 07:51
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Aha. Ipv6 deaktivert?

    Macht man auch nicht ;) Wenn es sein muss dann bitte so:
    http://support2.microsoft.com/kb/929852

    Dieser Zustand ist übrigens not recommended. Wenn du nur den Haken auf dem Adapter rausnimmst, ist das übrigens not supported.

    Mittwoch, 28. Januar 2015 16:43
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Aha. Ipv6 deaktivert?

    Macht man auch nicht ;) Wenn es sein muss dann bitte so:
    http://support2.microsoft.com/kb/929852

    Dieser Zustand ist übrigens not recommended. Wenn du nur den Haken auf dem Adapter rausnimmst, ist das übrigens not supported.

    was hat das denn bitte mit meinem problem zu tun? ich habe das als beispiel genannt.

    wenn etwas am netzwerkadapter ändere wie z.b. den haken bei ip v6 rausnehme dann gehte s für kurze zeit. setze ich den haken bei ipv6 wieder rein, geht es auch für kurze zeit.

    das heißt nicht das ich ipv6 dauerhaft deaktiviert habe! also was willst du lennart?

    Donnerstag, 29. Januar 2015 07:04
    |
  • Discussion
    Anmelden
    1
    Anmelden

    Eigentlich wollte ich dir bei deinem Problem helfen. Aber ist ja dein Problem und nicht meines.

    Schonmal dem NIC ein Treiberupdate gegönnt?
    IP Stack kann man auch resetten: http://support.microsoft.com/kb/299357

    Montag, 2. Februar 2015 15:25
    |
  • Discussion
    Anmelden
    0
    Anmelden

    Hallo,

    ist das Problem noch aktuell?

    Wenn ja, IPv6 deaktivieren ist nicht die vorgeschlagene Lösung von Microsoft und meistens auch nicht die richtige Lösung.

    Um festzustellen ob die HW Firewall Dein Problem ist, mach eine Testregel welche alle Ports erlaubt. Wenn es dann funktioniert ist es definitiv eine der Regeln.

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Dienstag, 10. Februar 2015 07:51
    |
  • Discussion
    Anmelden
    0
    Anmelden

    hi

    ja das problem ist noch aktuell. ich habe den server aus der domäne genommen aber die probleme sind weiterhin da.

    da es ein produktiv server ist, ist es schwer eine downtime zu finden. In den nächsten schritten werden mal die Netzwerk-Treiber geupdatet.

    Ich vermute eigentlich das es entweder der Treiber oder der TCP/IP Stack ist.

    Dienstag, 10. Februar 2015 07:58
    |