Der Domänencontroller glaubt, dass er sich in einem öffentlichen Netzwerk befindet

30

Wir haben einen primären Server 2008 R2- Domänencontroller, der anscheinend eine Amnesie aufweist, wenn es darum geht, herauszufinden, in welchem ​​Netzwerk er sich befindet. Die (einzige) Netzwerkverbindung wird beim Start als 'Öffentliches Netzwerk' identifiziert.

Wenn ich die Verbindung deaktiviere und dann wieder aktiviere, stellt sich erfreulicherweise heraus, dass sie tatsächlich Teil eines Domänennetzwerks ist.

Liegt das daran, dass AD Domain Services nicht gestartet wird, wenn der Netzwerkspeicherort zum ersten Mal ermittelt wird?

Dieses Problem verursacht einige Kopfschmerzen mit Windows-Firewallregeln (von denen ich mehr als sicher bin, dass sie auf andere Weise gelöst werden können). Daher bin ich meist nur gespannt, ob jemand weiß, warum dies geschieht.

Matt Renner
quelle
13
Bitte wiederholen Sie mit mir: "Es gibt keinen primären Domänencontroller und seit Windows 2000 gab es keinen mehr".
Massimo
5
Meine aufrichtige Entschuldigung. Web Developer muss sich um ein Windows-Netzwerk kümmern!
Matt Renner
Nur um einige zusätzliche Informationen für dieses frustrierende Problem hinzuzufügen : blogs.technet.com/b/networking/archive/2010/09/08/… und es gibt einen Hotfix für Windows 7 und 2008 R2 support.microsoft.com/en-us / kb / 2524478
Lee Thompson
Wie viele Domänencontroller haben Sie? Wenn wir Wartungsarbeiten durchführen, starten die Techniker manchmal beide Domänencontroller gleichzeitig neu! Das ist nicht sehr intelligent (obwohl es mitten in der Nacht ist), wenn Sie die Neustarts einfach verschieben können, um alle Dienste am Laufen zu halten.
Brian D.

Antworten:

16

Haben Sie ein Standard-Gateway für diese Verbindung? Wird auf Ping-Anfragen geantwortet?

Windows verwendet Gateways, um Netzwerke zu identifizieren. Wenn kein Gateway konfiguriert ist oder das Pingen nicht erfolgreich ist, kann es das Netzwerk, mit dem es verbunden ist, nicht identifizieren und nimmt an, dass es sich um ein öffentliches handelt.

Massimo
quelle
Wir tun es - Das Gateway ist auch ein Server 2008 R2-Computer, auf dem Forefront Threat Management Gateway ausgeführt wird, das der Domänencontroller anpingen kann.
Matt Renner
Ist auf Ihrem DC mehr als eine Netzwerkkarte installiert und in Gebrauch?
John Homer
Nein, nur der eine.
Matt Renner
13
Verstanden - hatte IPv6 versehentlich aktiviert, musste es versucht haben, das Gateway über v6 zu finden. Deaktiviert das und es funktioniert gut.
Matt Renner
3
Das ist definitiv falsch. Auf einem Domain-Controller wird der Firewall-Status vom Standard-Gateway nicht beeinflusst.
Schicht8
52

Ob das Netzwerk eines Domänencontrollers als Domänennetzwerk klassifiziert wird, hängt nicht von der Gateway-Konfiguration ab.

Das Verhalten einer falschen Netzwerkklassifizierung kann durch den Dienst NLA(Network Location Awareness) verursacht werden starts before the domain is available. In diesem Fall wird das öffentliche oder private Netzwerk ausgewählt und anschließend nicht korrigiert.

So überprüfen Sie, ob diese Fehlersituation vorliegt
Wenn sich der Domänencontroller nach dem Neustart im öffentlichen Netzwerk befindet, starten Sie den NLA-Dienst neu oder trennen / verbinden Sie das Netzwerk erneut. Der Domänencontroller sollte sich danach im Domänennetzwerk befinden.

Wie man es löst
Es kann hilfreich sein, den NLA-Dienst auf verzögerten Start einzustellen . Überprüfen Sie besser, warum die Domain lange anwesend sein muss. Es scheint, dass die Domain länger braucht, um zu starten, wenn mehrere Netzwerkkarten vorhanden sind.

Wenn es nicht hilft
Wenn weder das Laden der Domain noch die Verzögerung der NLA-Hilfe beschleunigt werden und der Fehler durch das lange Laden der Domain verursacht wird (siehe: "So prüfen Sie ..."), gibt es einige mehr Dinge, die getan werden können.

  • Schreiben Sie ein Skript, um es neu zu starten und mit dem Scheduler auszuführen (gefährlich)
  • Verschieben Sie das Laden des NLA-Dienstes auf das Ende des Dienstes, und ändern Sie die Ladereihenfolge in der Registrierung (gefährlich).

    Mit dem folgenden Registrierungseintrag werden die Abhängigkeiten auf Folgendes festgelegt NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
    "DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
    63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00
    
  • Führen Sie "IPCONFIG / RENEW" vom Scheduler beim Start mit einer Verzögerung von 1 oder 2 Minuten aus (besser als beim Starten des NLA-Dienstes)

  • Starten Sie den NLA-Dienst nach jedem Neustart manuell neu (aber: "IPCONFIG / RENEW" sollte bevorzugt werden)!

Eine weitere Ursache kann sein, dass auf dem Domänencontroller zwei oder mehr IP-Adressen konfiguriert sind (auf derselben oder auf anderen Netzwerkkarten) und die zusätzlichen Netzwerke nicht im DNS konfiguriert sind.

Die Reproduktion des Verhaltens
Auf einem Testdomänencontroller (DC Single!) Ich löschte den Standard - Gateway - Eintrag und stellen Sie die DNS Serverauf delayed start. Dabei brauchte die Domain lange, um geladen zu werden, und das Netzwerk wurde als klassifiziert public. Nach dem Trennen und erneuten Anschließen des Netzwerkkabels wurde das Netzwerk korrekt als klassifiziert domain network.


Bearbeiten

dankbar aus den Kommentaren von Daniel Fisher lennybaconund Joshua Hanley:

Hinzufügen einer Abhängigkeit für NlaSvc zu DNS und NTDS

Führen Sie es sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDSüber CMD aus (verwenden Sie sc.exe, wenn Sie es in PowerShell ausführen). Wenn Sie die vorhandenen Abhängigkeiten überprüfen möchten, bevor Sie DNS und NTDS hinzufügen, verwenden Siesc qc nlasvc

Sumpf-Wackeln
quelle
2
Dies ist die Antwort auf unsere Situation, in der ein sekundärer Domänencontroller / Backup-Domänencontroller in Azure (über VPN mit lokalem Domänencontroller verbunden) ständig am privaten Netzwerkspeicherort steckte und nach dem Neustart von NLA ordnungsgemäß in das Domänennetzwerk aufgelöst wurde. Ich habe die Änderung vorgenommen, um den Start zu verzögern, und das Problem wurde behoben.
Jaans
1
Das hat bei mir funktioniert! Hatte dieses Problem seit Monaten und entschied sich schließlich, es herauszufinden.
notbad.jpeg
2
hier MS Blog mit Informationen über NLA blogs.technet.microsoft.com/networking/2010/09/08/…
Tilo
3
Ich habe eine Abhängigkeit für NlaSvc zu DNS und NTDS hinzugefügt. Funktioniert wie Charme.
Daniel Fisher Lennybacon
1
Um das zu tun, was @DanielFisherlennybacon getan hat, führen Sie "sc config nlasvc depend = NSI / RpcSs / TcpIp / Dhcp / Ereignisprotokoll / DNS / NTDS" von CMD aus (verwenden Sie sc.exe, wenn Sie es in PowerShell ausführen). Wenn Sie die vorhandenen Abhängigkeiten überprüfen möchten, bevor Sie DNS und NTDS hinzufügen, verwenden Sie "sc qc nlasvc".
Joshua Hanley
1

Ich habe ein ähnliches Verhalten beim Aufstehen eines 2008 R2 AD-Servers festgestellt. Ich habe mehr als eine Netzwerkkarte aktiviert, obwohl sie nicht verwendet wurde. Nachdem ich die nicht verwendeten Netzwerkkarten deaktiviert und neu gestartet hatte, verschwand das Problem.

Die genaue Windows-Funktion, mit der Sie hier konfrontiert sind, heißt NLA (Network Location Awareness). Ich weiß nicht genug darüber, um zu behaupten, ein Experte zu sein, aber ich weiß, dass es auf den Zwischenrohren einige interessante Informationen darüber gibt, wie alles funktioniert oder funktionieren soll.

John Homer
quelle
0

In meinem Fall war der Server eine DMZ und viele Firewall-Regeln blockierten den Server, um mit Domänencontrollern zu kommunizieren. In diesem Fall müssen Sie Firewalls (Hardware-FW) öffnen, damit die Server kommunizieren können. Um einen Test durchzuführen, verbinden Sie den Server mit einem Netzwerk, in dem Firewall-Regeln die Kommunikation zwischen Client und Servern ermöglichen.

Kabul
quelle
-4

Nach der Installation eines neuen Domänencontrollers wird die "WINDOWS FIREWALL" möglicherweise nicht ordnungsgemäß auf "DOMAIN: ON" gesetzt. Dies ist eine Folge von fehlerhaften Installationsstandards, die von Microsoft bereitgestellt wurden. Um dies zu beheben, löschen Sie die IP6-DNS-Einstellungen der Netzwerkverbindung von ":: 0" zurück auf "Automatisch". Deaktivieren Sie außerdem die IP6-Weiterleitungen vom DNS-Server.

Funschlager
quelle