Frage Der Domain Controller denkt an ein öffentliches Netzwerk


Wir haben einen Server 2008 R2 Primär Domain Controller, der anscheinend amnesiert, wenn es darum geht, herauszufinden, auf welchem ​​Netzwerk er sich befindet. Die (einzige) Netzwerkverbindung wird beim Start als 'Öffentliches Netzwerk' identifiziert.

Wenn ich die Verbindung deaktiviere und dann wieder aktiviere, stellt sie glücklich fest, dass sie tatsächlich Teil eines Domänennetzwerkes ist.

Ist dies der Fall, weil die AD Domain Services nicht gestartet werden, wenn der Netzwerkspeicherort ursprünglich erstellt wurde?

Dieses Problem verursacht einige Probleme mit den Windows-Firewall-Regeln (denen ich mehr als bewusst bin, dass sie auf andere Weise gelöst werden können), so dass ich meistens nur neugierig bin, ob jemand weiß, warum das passiert.


28
2018-02-21 20:30


Ursprung


Bitte wiederholen Sie mit mir: "Es gibt keinen primären Domänen-Controller, und es gab nie seit Windows 2000". - Massimo
Meine aufrichtige Entschuldigung. Web Developer muss sich um ein Windows Netzwerk kümmern! - Matt Renner
Nur um zusätzliche Informationen für dieses frustrierende Problem hinzuzufügen: blogs.technet.com/b/networking/archive/2010/09/08/ ... und es gibt einen Hotfix für Windows 7 und 2008 R2 support.microsoft.com/en-us/kb/2524478 - Lee Thompson
Wie viele Domänencontroller haben Sie? Wenn wir Wartungsarbeiten durchführen, booten die Techniker manchmal beide Domänencontroller gleichzeitig neu! Das ist nicht sehr intelligent (obwohl es mitten in der Nacht ist), wenn man die Neustarts einfach staffeln kann, um alle Dienste in Betrieb zu halten. - Brian D.


Antworten:


Haben Sie ein Standard-Gateway für diese Verbindung? Antwortet es auf Ping-Anfragen?

Windows verwendet Gateways, um Netzwerke zu identifizieren. Wenn es kein Gateway konfiguriert hat oder wenn es nicht erfolgreich pingen kann, wird es nicht in der Lage sein, das Netzwerk zu identifizieren, mit dem es verbunden ist, und es wird angenommen, dass es ein öffentliches ist.


16
2018-02-21 20:34



Das tun wir - Das Gateway ist auch eine Server 2008 R2-Maschine, auf der Forefront Threat Management Gateway ausgeführt wird. - Matt Renner
Ist in Ihrem DC mehr als eine Netzwerkkarte installiert und in Verwendung? - John Homer
Nein, nur der eine. - Matt Renner
Verstanden - IPv6 war versehentlich eingeschaltet, also musste es versucht haben, das Gateway über v6 zu finden. Habe das ausgeschaltet und es funktioniert gut. - Matt Renner


Ob das Netzwerk eines Domänencontroller ist klassifiziert als Domänennetzwerk hängt nicht von der Gateway-Konfiguration ab.

Das Verhalten einer falschen Netzwerkklassifikation kann verursacht werden NLA (Netzwerkstandort-Awareness) -Dienst starts before the domain is available. In diesem Fall wird das öffentliche oder private Netzwerk ausgewählt und danach nicht korrigiert.

So prüfen Sie, ob diese Fehlersituation gegeben ist
Wenn sich der Domänencontroller nach dem Neustart im öffentlichen Netzwerk befindet, starten Sie den NLA-Dienst neu, oder trennen Sie die Verbindung zum Netzwerk. Der Domänencontroller sollte danach im Domänennetzwerk sein.

Wie man es löst
Es kann helfen Stellen Sie den NLA-Dienst auf einen verzögerten Start ein. Besser, überprüfen Sie, warum die Domain lange benötigt wird. Es scheint, dass die Domäne länger gestartet werden muss, wenn mehrere Netzwerkkarten vorhanden sind.

Wenn es nicht hilft
Wenn weder das Laden der Domäne noch die Verzögerung der NLA-Hilfe beschleunigt wird und der Fehler durch das lange Laden der Domäne verursacht wird (siehe: "Wie überprüft man ..."), dann gibt es noch einige Dinge, die getan werden können .

  • Schreiben Sie ein Skript für den Neustart und führen Sie es mit dem Scheduler (gefährlich)
  • Verschieben Sie das Laden des NLA-Diensts auf das Ende des Dienststarts, ändern Sie die Ladereihenfolge in der Registrierung (gefährlich)

    Der folgende Registrierungseintrag legt die Abhängigkeiten fest NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
    "DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
    63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00
    
  • Führen Sie "IPCONFIG / RENEW" vom Scheduler beim Start mit einer Verzögerung von 1 oder 2 Minuten aus (besser als beim Starten des NLA-Dienstes)

  • Starten Sie den NLA-Dienst nach jedem Neustart manuell neu (aber: "IPCONFIG / RENEW" sollte bevorzugt werden)!

Ein weiterer Grund kann auch sein, wenn auf dem Domänencontroller zwei oder mehr IPs konfiguriert sind (auf derselben oder auf anderen Netzwerkkarten) und die zusätzlichen Netzwerke nicht im DNS konfiguriert sind.

Wiedergabe des Verhaltens
Auf einem Test Domain Controller (Single DC!) Löschte ich den Default Gateway Eintrag und setzte den DNS Serverzu delayed start. Dabei musste die Domain lange geladen werden und das Netzwerk wurde als eingestuft public. Nach dem Trennen und erneutem Verbinden des Netzwerkkabels wurde das Netzwerk korrekt als eingestuft domain network.


41
2017-11-26 11:07



Dies ist die Antwort auf unsere Situation, bei der ein sekundärer / Backup-Domänencontroller in Azure (über VPN mit lokalem Domänencontroller verbunden) ständig am privaten Netzwerkstandort festhielt und nach dem Neustart von NLA korrekt zum Domänennetzwerk aufgelöst wurde. Ich habe die Änderung zu verzögern gestartet und es hat unser Problem gelöst. - Jaans
Das hat für mich funktioniert! Hatte dieses Problem seit Monaten und beschloss schließlich, es herauszufinden. - notbad.jpeg
hier MS Blog mit Infos über NLA blogs.technet.microsoft.com/networking/2010/09/08/ ... - Tilo
Ich habe eine Abhängigkeit für NlaSvc zu DNS und NTDS hinzugefügt. Funktioniert wie Charme. - Daniel Fisher lennybacon


Ich habe ein ähnliches Verhalten bei einem 2008 R2 AD Server erlebt. Die Sache, die mich dazu gebracht hat, mehr als eine NIC zu aktivieren, obwohl sie nicht benutzt wurde. Nachdem ich die unbenutzten NICs deaktiviert und neu gestartet hatte, verschwand das Problem.

Die genaue Windows-Funktion, mit der Sie hier konfrontiert werden, heißt NLA (Network Location Awareness). Ich weiß nicht genug darüber, um ein Experte zu sein, aber ich weiß, dass es da draußen interessante Informationen darüber gibt, wie alles funktioniert oder funktionieren soll.


1
2018-02-21 21:12





Nach der Installation eines neuen Domänencontrollers stellen Sie möglicherweise fest, dass "WINDOWS FIREWALL" nicht ordnungsgemäß auf "DOMAIN: ON" festgelegt wird. Dies ist ein Ergebnis schlechter Installationsstandards, die von Microsoft bereitgestellt werden. Um dies zu beheben, löschen Sie die IP6 DNS-Einstellungen in der Netzwerkverbindung von ":: 0" zurück zu automatisch. Löschen Sie außerdem die IP6-Weiterleitungen vom DNS-Server.


-3
2018-01-22 13:12