none
Problem mit Domain Controllern RRS feed

  • Frage

  • Hallo,

    nach der Migration von 2008 R2 auf 2016 Domain Controller haben wir ein Problem beim Anmelden nach einem Neustart der Domain Controller. Wenn wir versuchen uns nach einem Neustart als Domain Admin anzumelden, können wir das Kennwort eingeben, danach passiert aber nichts mehr.

    Trennen wir die Netzwerkverbindung und starten dann neu, können wir uns wieder anmelden und die Netzwerkverbindung im Anschluss wieder herstellen.

    Irgendjemand eine Idee? 

    Vielen Dank,

    Mittwoch, 10. April 2019 12:44

Alle Antworten

  • Beschreibe doch mal wie Du die Migration gemacht hast. Neue Server, Update, parallel? Mehrere DC's? Wo sind die FSMO Rollen etc. etc. 

    Nach dem Reboot, siehst Du was in den Logs? Replikation ok? Netlogon etc. alles ok?

    Gruss

    Mittwoch, 10. April 2019 14:20
  • Hallo dahawei,

    zum Zeitpunkt der Migration war die Domänenfunktionsebene und Gesamtstrukturfunktionebene auf Windows Server 2008 R2. In der Vorbereitung wurde Sysvol von FRS auf DFSR umgestellt. Im Anschuss wurde ein neuer DC installiert und die FSMO Rollen übertragen und der alte DC herabgestuft. Ein zweiter DC wurde dann auch installiert. Dieser hat das gleiche Problem.

    Die Funktionsebenen wurde nach einer Migration von Exchange 2010 auf 2016 auf 2012 R2 heraufgestuft.

    Nach dem Reboot finde ich keine Fehler oder Warnung in der Ereignisanzeige.

    DFS-Replikation gibt regelmäßig Warnungen aus direkt danach aber eine Information.

    Warnung: 

    Der DFS-Replikationsdienst beendet die Kommunikation mit Partner DC01 für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen. 

    Information:

    Der DFS-Replikationsdienst hat erfolgreich eine eingehende Verbindung mit Partner "DC01" für Replikationsgruppe "Domain System Volume" hergestellt. 
     

    Gruß,


    Mittwoch, 10. April 2019 14:54
  • Moin,

    ein paar Basics:

    1. sind die DNS-Server-Listen bei beiden DCs sauber? Sollte so etwas sein wie: <der jeweils andere>,<eigene IP>,<127.0.0.1>
    2. finden sich noch irgendwo in _msdcs Einträge zum alten DC? Ist das Computer-Objekt und/oder das Server-Objekt vom alten DC in Sites & Services noch da?
    3. Haben die DCs noch mehr Netzwerkkarten? Sind die deaktiviert oder, falls sie für Backup o.ä. benötigt werden, zumindest vom DNS befreit (nachschlagen + eintragen)?
    4. Überhaupt: Ist das Ganze virtualisiert? Falls ja: Auf welcher Plattform?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 10. April 2019 15:20
  • zu 1. Die DNS server sind wie beschrieben eingetragen.

    zu. 2. _msdcs ist bereits vollständig gelöscht und neu angelegt worden. Die alten Objekte sind im Zuge der herrabstufung gelöscht worden.

    zu. 3. Nein. Sie haben jeweils nur eine Netzwerkkarte.

    zu. 4.  Ja sie sind Virtuell. ESXi 6.7 

    Mittwoch, 10. April 2019 15:45

  • zu. 4.  Ja sie sind Virtuell. ESXi 6.7 

    VMXNET3 oder E1000E?

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 10. April 2019 16:18
  • VMXNET3
    Mittwoch, 10. April 2019 17:22
  • Ich vermute ein Fehler in der Replikation. Gibt's zur Warnmeldung mehrere Events oder nähere Infos. Was sagt repadmin /showrepl*, repadmin /replsummary und dcdiag?

    Die Migration von FRS zu DFRS wurde erfolgreich beendet? dfdsrmig /getmigrationstate
    https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dd641227(v=ws.11)

    Gruss

    Donnerstag, 11. April 2019 06:12
  • epadmin /showrepl *

    Repadmin: Befehl "/showrepl" wird für den vollständigen DC "DC02.Domain.lan" ausgeführt
    site\DC02
    DSA-Optionen: IS_GC
    Standortoptionen: (none)
    DSA-Objekt-GUID: 20655586-8b71-4c9c-90f8-f8b4297c74b5
    DSA-Aufrufkennung: d1489ea4-7fc1-4212-bb0d-0c6fbfda05fc

    ==== EINGEHENDE NACHBARN=====================================

    DC=Domain,DC=lan
        site\DC01 über RPC
            DSA-Objekt-GUID: 022c19e5-baf6-4233-a9fc-fdade062c2b1
            Letzter Versuch am 2019-04-11 08:53:31 war erfolgreich.

    CN=Configuration,DC=Domain,DC=lan
        site\DC01 über RPC
            DSA-Objekt-GUID: 022c19e5-baf6-4233-a9fc-fdade062c2b1
            Letzter Versuch am 2019-04-11 08:53:31 war erfolgreich.

    CN=Schema,CN=Configuration,DC=Domain,DC=lan
        site\DC01 über RPC
            DSA-Objekt-GUID: 022c19e5-baf6-4233-a9fc-fdade062c2b1
            Letzter Versuch am 2019-04-11 08:53:31 war erfolgreich.

    DC=ForestDnsZones,DC=Domain,DC=lan
        site\DC01 über RPC
            DSA-Objekt-GUID: 022c19e5-baf6-4233-a9fc-fdade062c2b1
            Letzter Versuch am 2019-04-11 08:53:31 war erfolgreich.

    DC=DomainDnsZones,DC=Domain,DC=lan
        site\DC01 über RPC
            DSA-Objekt-GUID: 022c19e5-baf6-4233-a9fc-fdade062c2b1
            Letzter Versuch am 2019-04-11 08:53:31 war erfolgreich.

    Repadmin: Befehl "/showrepl" wird für den vollständigen DC "DC01.Domain.lan" ausgeführt
    site\DC01
    DSA-Optionen: IS_GC
    Standortoptionen: (none)
    DSA-Objekt-GUID: 022c19e5-baf6-4233-a9fc-fdade062c2b1
    DSA-Aufrufkennung: 508fc8d5-837a-46c3-b415-fd7280b789c2

    ==== EINGEHENDE NACHBARN=====================================

    DC=Domain,DC=lan
        site\DC02 über RPC
            DSA-Objekt-GUID: 20655586-8b71-4c9c-90f8-f8b4297c74b5
            Letzter Versuch am 2019-04-11 08:53:19 war erfolgreich.

    CN=Configuration,DC=Domain,DC=lan
        site\DC02 über RPC
            DSA-Objekt-GUID: 20655586-8b71-4c9c-90f8-f8b4297c74b5
            Letzter Versuch am 2019-04-11 08:46:36 war erfolgreich.

    CN=Schema,CN=Configuration,DC=Domain,DC=lan
        site\DC02 über RPC
            DSA-Objekt-GUID: 20655586-8b71-4c9c-90f8-f8b4297c74b5
            Letzter Versuch am 2019-04-11 08:46:36 war erfolgreich.

    DC=DomainDnsZones,DC=Domain,DC=lan
        site\DC02 über RPC
            DSA-Objekt-GUID: 20655586-8b71-4c9c-90f8-f8b4297c74b5
            Letzter Versuch am 2019-04-11 08:46:36 war erfolgreich.
            
    DC=ForestDnsZones,DC=Domain,DC=lan
        site\DC02 über RPC
            DSA-Objekt-GUID: 20655586-8b71-4c9c-90f8-f8b4297c74b5
            Letzter Versuch am 2019-04-11 08:46:36 war erfolgreich.
            
    ##############################################         

    repadmin /replsummary
    Startzeit der Replikationszusammenfassung: 2019-04-11 08:54:21

    Datensammlung für Replikationszusammenfassung wird gestartet.
    Dieser Vorgang kann einige Zeit dauern.
      ......


    Quell-DSA          Größtes Delta    Fehler/gesamt %%  Fehler
     DC01                      08m:04s    0 /  10    0
     DC02                      08m:04s    0 /  10    0


    Ziel-DSA           Größtes Delta    Fehler/gesamt %%  Fehler
     DC01                      07m:46s    0 /  10    0
     DC02                         :51s    0 /  10    0
     
    ############################################## 
     
    dcdiag

    Verzeichnisserverdiagnose

    Anfangssetup wird ausgeführt:
       Der Homeserver wird gesucht...
       Homeserver = DC01
       * Identifizierte AD-Gesamtstruktur.
       Sammeln der Ausgangsinformationen abgeschlossen.

    Erforderliche Anfangstests werden ausgeführt.

       Server wird getestet: site\DC01
          Starting test: Connectivity
             ......................... DC01 hat den Test Connectivity bestanden.

    Primärtests werden ausgeführt.

       Server wird getestet: site\DC01
          Starting test: Advertising
             ......................... DC01 hat den Test Advertising bestanden.
          Starting test: FrsEvent
             ......................... DC01 hat den Test FrsEvent bestanden.
          Starting test: DFSREvent
             Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse
             vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
             ......................... Der Test DFSREvent für DC01 ist fehlgeschlagen.
          Starting test: SysVolCheck
             ......................... DC01 hat den Test SysVolCheck bestanden.
          Starting test: KccEvent
             ......................... DC01 hat den Test KccEvent bestanden.
          Starting test: KnowsOfRoleHolders
             ......................... DC01 hat den Test KnowsOfRoleHolders bestanden.
          Starting test: MachineAccount
             ......................... DC01 hat den Test MachineAccount bestanden.
          Starting test: NCSecDesc
             ......................... DC01 hat den Test NCSecDesc bestanden.
          Starting test: NetLogons
             ......................... DC01 hat den Test NetLogons bestanden.
          Starting test: ObjectsReplicated
             ......................... DC01 hat den Test ObjectsReplicated bestanden.
          Starting test: Replications
             ......................... DC01 hat den Test Replications bestanden.
          Starting test: RidManager
             ......................... DC01 hat den Test RidManager bestanden.
          Starting test: Services
             ......................... DC01 hat den Test Services bestanden.
          Starting test: SystemLog
             ......................... DC01 hat den Test SystemLog bestanden.
          Starting test: VerifyReferences
             ......................... DC01 hat den Test VerifyReferences bestanden.


       Partitionstests werden ausgeführt auf: DomainDnsZones
          Starting test: CheckSDRefDom
             ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... DomainDnsZones hat den Test CrossRefValidation bestanden.

       Partitionstests werden ausgeführt auf: ForestDnsZones
          Starting test: CheckSDRefDom
             ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... ForestDnsZones hat den Test CrossRefValidation bestanden.

       Partitionstests werden ausgeführt auf: Schema
          Starting test: CheckSDRefDom
             ......................... Schema hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... Schema hat den Test CrossRefValidation bestanden.

       Partitionstests werden ausgeführt auf: Configuration
          Starting test: CheckSDRefDom
             ......................... Configuration hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... Configuration hat den Test CrossRefValidation bestanden.

       Partitionstests werden ausgeführt auf: Domain
          Starting test: CheckSDRefDom
             ......................... Domain hat den Test CheckSDRefDom bestanden.
          Starting test: CrossRefValidation
             ......................... Domain hat den Test CrossRefValidation bestanden.

       Unternehmenstests werden ausgeführt auf: Domain
          Starting test: LocatorCheck
             ......................... Domain hat den Test LocatorCheck bestanden.
          Starting test: Intersite
             ......................... Domain hat den Test Intersite bestanden.
             
    ############################################## 
             
    dfsrmig /getmigrationstate

    Alle Domänencontroller wurden erfolgreich zum globalen Status (""Entfernt"") migriert.
    Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
    Erfolgreich
    Donnerstag, 11. April 2019 07:08
  • Moin,

    ich vermute, hier liegt ein Fehler im ARP vor. kannst Du mal beim nächsten Neustart des DC folgendes tun:

    1. den DC herunterfahren (nicht neustarten)
    2. auf einem Rechner im gleichen IP-Subnetz arp -d * ausführen
    3. Dauerping auf den DC von diesem Rechner starten
    4. Wenn der DC bis zur Anmeldung hochgefahren ist, schauen, ob der Ping schon geht.
    5. Geht er noch nicht, mit arp -a schauen, ob wenigstens die MAC-Adresse des DC schon angekündigt wurde, und ob sie auch korrekt ist.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 11. April 2019 08:59
  • Also ich hatte jetzt Zeit dies zu testen:

    Ping geht und die MAC ist auch richtig.

    Sonntag, 14. April 2019 11:57