[Windows Server] Domänen-Fuckup und total Chaos

[Howard]

Moin,

da das hier ja scheinbar ein IT-Board ist, muss ich euch mal mit meinem Problem belästigen. Vorweg: Berufliches Problem!

Folgene Situation ist gegeben: Lebensmittelproduzent im Mittelstand. Kleines Netz mit ca. 20 Clients und einem zentralen Server. Auf diesem Gerät laufen insgesamt 4 Server, einer physikalisch, 3 virtuell. Der physikalische und einer der virtuellen sind jeweils Domain Controller (Server2003R2 x64 Enterprise, einmal mit AD, einmal ohne) einer Domäne- damit fängt das Problem an. Es existieren 2 Domänen parallel, mit jeweils eigener Userverwaltung(!) und eigenen Druckern, die aber scheinbar domänenübergreifend nutzbar sind. Es ist nicht klar, welche Nutzer in welcher Domäne angemeldet sind und welche nicht. Ich kann keine neuen User anlegen und keine Passwörter zurücksetzen. Beziehungsweise kann ich zwar neue User anlegen, diese können sich aber nicht anmelden, weil die Domäne nicht verfügbar ist. Damit sind Clients, deren Passwort nicht bekannt ist, quasi nutzlos. Außerdem ist ein flächendeckender Virenschutz nicht nutzbar, sodass wir derzeit ohne arbeiten müssen.

Daraus ergeben sich diverse Fragen:

- Kann ich dieses Chaos ohne komplette Neuinstallation irgendwie beheben?
- Wie kommt soetwas zustande?
- Lohnt der Aufwand, das alles zu beheben, überhaupt?


Danke fürs Mühen
H

 

[drfuture]

Tjo...

wie kannst du 2 DomainController haben und nur einer davon ein ActiveDirectory? Ist der zweite ein Linux System mit Samba?
Die Frage ist warum 2 Domains erstellt wurden... vor allem macht eine Domaine auf einem Physikalischen und eine zweite auf einem Virtuellen - auf dem gleichen Physikalischen PC relativ wenig Sinn. Jedenfalls wenn die Domainen zusammenarbeiten sollen.
Eine Gegenseitige Anmeldung (Dein Problem das sich ein Benutzer nicht anmelden kann da er die Domain nicht findet) funktioniert nur wenn man eine Vertrauensstellung zwischen den 2 Domains einrichtet.
Die große Frage ist daher warum es 2 Domänen gibt, ob diese wirklich benötigt werden - und wie das Zusammenspiel zwischen den 2 stattfinden soll.
Insofern keinem eine vernünftige Begründung einfällt (und da gibt es nicht arg so viele) Dann reicht wohl eine Domäne. Dann würde es normal reichen die 2. Domäne - am besten die auf dem virtuellen PC zu deinstallieren (man kann die Rolle deinstallieren - dann übt der PC keine Rolle als Domaincontroller mehr aus - das zurück stufen funktioniert auch gut ohne Neuinstallation.)
Alle Computer an denen sich nicht angemeldet werden kann müssen dann in die noch übrige Domäne hinzugefügt werden.
Insofern keine Policys vorhanden sind die den Login auf bestimmten Computern verbieten - kann sich dann an allen Computern mit allen Benutzern der noch übrigen Domäne lokal angemeldet werden.

 

[Howard]

Am virtuellen (ebenfalls Srv2003R2) hab ich ein AD, am physikalischen bisher wohl nicht. Da läuft alles über die Computerverwaltung->Benutzer.

Der Grund, warum es Domänen gibt? Bei der ersten konnte man irgendwann keine neuen User/Drucker anlegen, also hat man eine zweite Domäne eingerichtet...

 

[drfuture]

Dann ist das erste auch keine Domäne sondern nur lokale Benutzer einer Heimarbeitsgruppe - nur weil es ein Srv2003 Ist ist es kein Domaincontroller ;D
Dann gibt es auch nur eine Domäne und dort in dem virtuellen Server müssen die Benutzer gepflegt werden.
Insofern dann die Clients nun die Domäne nicht finden können - stimmt wohl etwas mit der Namensauflösung bzw. Netzwerkverbindung des virtuellen Servers nicht.
Ist der virtuelle Server von einem client aus ping-bar? Per Hostname und oder IP?

 

[Howard]

Server sind alle pingbar, per Hostname und IP. Es gibt definitiv 2 Domänen, bzw 1 Dömäne und eine Arbeitsgruppe? Was von beiden es ist, weiß ich leider nicht. Ich hab den haufen hier vor einem halben Jahr übernommen.

 

[drfuture]

Tjo - sind dann die Computer der Domäne hinzugefügt? Was steht denn in der Anmeldemaske drin?
Dort müsste der domänen-Name der Domäne die der virtuelle Server betreibt drin stehen.
Domänenname bekommst du zur not unter Systemsteuerung > Verwaltung > Domänen und Vertrauensstellungen am Domänencontroller raus.

Und arbeitsgruppe hat nichts mit einer Domäne zu tun. eine Domäne wird in der Microsoft-Welt von einem Domäncontroller betrieben und nennt sich dann ActiveDirectory. Ganz leicht daran zu erkennen welche Systemrollen der Server in der Serververwaltung inne hat - bzw. auch daran ob man lokale Benutzer pflegen kann (Systemsteuerung > Benutzer) Oder nur Domänenbenutzer (Systemsteuerung > Verwaltung > Domänen Benutzer und Gruppen).

 

[Howard]

Ich sehe schon, das ganze ist noch viel schlimmer als vermutet.

Bestandsuser melden sich sowohl an Domäne A(die vernutlich eine Arbeitsgruppe ist, weil keine Domänennutzer angelegt sind) als auch an Domäne B (die ein AD dahinter hat)an.

Ich hab zwar Fachinformatiker gelernt, aber weder ich noch mein Kollege in Spanien, noch ein Systemhaus wissen weiter. Einzige Empfehlung ist immer "Alles komplett neumachen", was aber angesichts der Tatsache, das ich alleine bin und das alles ohne externe Unterstützung für div. Software nicht geht, recht unschaffbar ist.

 

[drfuture]

Und wie melden sich die Benutzer an beiden an?

a) wie geht der Login an einem PC von statten > welche daten stehen beim Login?
b) welche genaue Fehlermeldung kommt

 

[GigaShadow]

Beides geht nicht, entweder Domäne oder Arbeitsgruppe. Meiner Meinung nach existiert Domäne A nicht, darum ist auch kein Anmelden möglich. Das beste wäre wirklich die Domäne neu aufzuziehen.

 

[Howard]

Domäne existiert, es melden sich ja Nutzer dort an, inkl. Zugriff auf Netzwerk und Drucker.

Login:
Nutzername
Passwort
Anmelden an: Hier kann zwischen Domäne A und Domäne B gewählt werden.

Fehler: Anmelden an DOMÄNE A/B nicht möglich. Die Domäne ist zurzeit nicht verfügbar. Versuchen Sie es später erneut (so ungefähr, nicht wortgenau)

Ob A nun eine Domäne oder Arbeitsgruppe ist, kann ich nicht zu 100% sagen. Laut meinen Infos eine Domäne, reale Anzeichen sehen aber eher nach Arbeitsgruppe aus.

 

[GigaShadow]

Wenn das über die Sicherheitsrichtlinie nicht gesperrt wurde hat der Client auf lokale Anmeldung umgeschaltet weil die Domäne ja nicht erreichbar ist. Und dann sieht es so aus wie du es beschrieben hast. Also musst du wohl herausfinden warum sie nicht erreichbar ist. Wie sieht es denn auf dem Server aus, irgendwelche Fehler in der Ereignisanzeige?

 

[Howard]

Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne A aufgrund der folgenden Ursache:
Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar. nicht einrichten.
Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht.

Hat er mir vor 1.5 Stunden geworfen. Jetzt stellt sich nur die Frage, wieso er die Domäne nicht erreichen kann.

Ich werde die netlogon-Geschichte morgen früh mal im Auge behalten, wenn meine User morgens eintrudeln.

 

[Tedious]

Hmmm... mal ganz blöd gefragt... Ein DC ist da, der andere Server bietet eine Arbeitsgruppe an. Könnte man nicht den "AG-Server" mittels DCPROMO in einen AD-Server wandeln und mit dem zweiten syncen lassen (AD als DNS Server und der "neue" der ihn nutzt)? Quasi als PDC und BDC? Wenn das Ganze denn läuft die virtuelle Kiste als BDC deklarieren und rauslösen? Bin aus dem Kram schon zu lange raus, das ging mir nur grade durch den Kopf?!

 

[drfuture]

PDC und BDC gibts nicht mehr *g* - sind nun der einfachhalt halber alles Domaincontroller gleichen rangs... die sich alle syncen bzw. bei einem Forest anhand der Vertrauensstellungen replizieren
Ich würde auch doof tippen es "waren" einmal 2 Domains - bzw. die Rechner sind in einer alten Domain - und diese wurde neu aufgesetzt in der virtuellen Kiste (Virtualisierung is ja modern und cool) - dann wurde versucht über eine Vertrauensstellung die User zu übernehmen > Irgend einer hat mist gebaut und den alten Domaincontroller zurück gestuft...
Somit gibt es nun noch einen halben domaincontroller der meint teil eines Forest zu sein den es nicht mehr gibt.

Bei 20 Usern stimme ich da überein das ein komplettes auflösen der Domains und neu erstellen einer einzigen Domain mit neuen Benutzern das einzig Sinnvolle ist.
Außer die ~20 Benutzer im Haus haben so komplexe Datei und Verzeichnisberechtigungen das es ein riesen Aufwand wäre diese nachzubilden.
Das wieder gerade zu biegen würde sonst doppelt so lange dauern - mit dem Ergebnis das du trotzdem in ein paar Jahren wieder Probleme haben kannst z.B. beim update auf eine 2008 / 2012 Domainstruktur bzw. Funktionsebene.

Neuinstallieren musst du deswegen trotzdem nichts. Den jetzigen Domaincontroller kannst du quasie runter fahren (den virtuellen). Dann dcpromo ausführen auf dem physikalischen und dort eine neue root-Domain einrichten. Zum Schluss alle Clients der neuen Domain hinzufügen.

 

[Tedious]

Sag ja ich bin da schon eine Weile raus Zumindest lag ich mit dcpromo nihct ganz falsch

 

[Howard]

Es geht weiter. Das wirft er mir in der Ereignisanzeige, Punkt Anwendungen:

Der Benutzer oder der Computername kann nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Alle Angaben bzgl. Ereignisanzeige stammen vom physikalischen DC der Domäne(?) A.

An meinem Client hier ist als DNS 8.8.8.8 eingetragen, das ist der google-DNS. Wenn ich diesen auf meinen vermutlichen DC umstelle, könnte das eventuell das Problem abschwächen?

 

[drfuture]

ja primärer DNS muss in jedem fall der DC sein... also in dem Fall wohl der virtuelle Server ...

Da aber auch replikations-Fehlermeldungen im DC zu finden sind - könnte das eventuell die sache verbessern - aber sicher nicht lösen.

 

[The_Emperor]

Vergiss den Schrott mit dcpromo. Wenn man keinen sekundären DC hat braucht man nicht rauf oder runterstufen. Erst recht nicht wenn das AD sowieso hin ist. Bringt nicht gerade viel zwei Server mit totem AD zu besitzen. Wenn du jetzt nur einen Domänenkontroller hast (ohne AD kein Domänenkontroller) dann nimm die 20 Clients aus der Domäne raus und formatier danach die 2003er Kiste wenn das AD sowieso total zerschossen ist. Neue Domäne ist der bessere und einzig saubere Weg wenn es wirklich so schlimm aussieht wie du es schilderst.

 

[Howard]

Update!

Der physikalische Server ist (afaik) der einzige in Domäne A. Der DC, an dem sich auch die User anmelden, ist der virtuelle Server in Domäne B.

 

[drfuture]

ja habe ich ja vorher schon gesagt ...