it-swarm.com.de

Der Domänencontroller glaubt, dass er sich in einem öffentlichen Netzwerk befindet

Wir haben einen Server 2008 R2 Primär Domänencontroller, der anscheinend Amnesie hat, wenn es darum geht, herauszufinden, in welchem ​​Netzwerk er sich befindet. Die (einzige) Netzwerkverbindung wird beim Start als "öffentliches Netzwerk" identifiziert.

Wenn ich jedoch die Verbindung deaktiviere und dann wieder aktiviere, stellt sich erfreulicherweise heraus, dass sie tatsächlich Teil eines Domänennetzwerks ist.

Liegt dies daran, dass AD Domain Services nicht gestartet wird, wenn der Netzwerkspeicherort zum ersten Mal ermittelt wird?

Dieses Problem verursacht einige Kopfschmerzen mit Windows-Firewall-Regeln (von denen ich mehr als weiß, dass sie auf andere Weise gelöst werden können). Daher bin ich meistens nur neugierig, ob jemand weiß, warum dies geschieht.

31
Matt Renner

Haben Sie ein Standard-Gateway für diese Verbindung? Antwortet es auf Ping-Anfragen?

Windows verwendet Gateways, um Netzwerke zu identifizieren. Wenn kein Gateway konfiguriert ist oder wenn es nicht erfolgreich gepingt werden kann, kann es das Netzwerk, mit dem es verbunden ist, nicht identifizieren und nimmt an, dass es ein öffentliches ist.

17
Massimo

Gibt an, ob das Netzwerk eines Domänencontrollers als Domänennetzwerk klassifiziert ist. -) hängt nicht von der Gateway-Konfiguration ab.

Das Verhalten einer falschen Netzwerkklassifizierung kann durch den Dienst NLA (Netzwerkstandorterkennung) starts before the domain is available Verursacht werden. In diesem Fall wird das öffentliche oder private Netzwerk ausgewählt und anschließend nicht korrigiert.

So überprüfen Sie, ob diese Fehlersituation vorliegt
Wenn sich der Domänencontroller nach dem Neustart im öffentlichen Netzwerk befindet, starten Sie den NLA-Dienst neu oder trennen Sie das Netzwerk. Der Domänencontroller sollte sich danach im Domänennetzwerk befinden.

Wie man es löst
Es kann hilfreich sein, den NLA-Dienst auf verzögerten Start einzustellen. Überprüfen Sie besser, warum die Domain lange brauchen muss, um präsent zu sein. Es scheint, dass die Domain länger braucht, um zu starten, wenn mehrere Netzwerkkarten vorhanden sind.

Wenn es nicht hilft
Wenn weder das Laden der Domain noch die Verzögerung der NLA-Hilfe beschleunigt werden und der Fehler durch das lange Laden der Domain verursacht wird (siehe: "So überprüfen Sie ..."), gibt es noch weitere Dinge, die getan werden können.

  • Schreiben Sie ein Skript zum Neustart und führen Sie es mit dem Scheduler aus (gefährlich).
  • Verschieben Sie das Laden des NLA-Dienstes auf das Ende des Dienststarts und ändern Sie die Ladereihenfolge in der Registrierung (gefährlich).

    Der folgende Registrierungseintrag setzt die Abhängigkeiten auf NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

    REGEDIT4
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
    "DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
    63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00
    
  • Führen Sie "IPCONFIG/RENEW" vom Scheduler beim Start mit einer Verzögerung von 1 oder 2 Minuten aus (besser als beim Starten des NLA-Dienstes).

  • Starten Sie den NLA-Dienst nach jedem Neustart manuell neu (aber: "IPCONFIG/RENEW" sollte bevorzugt werden)!

Eine weitere Ursache kann auch sein, wenn auf dem Domänencontroller zwei oder mehr IPs konfiguriert sind (auf derselben oder auf anderen Netzwerkkarten) und die zusätzlichen Netzwerke nicht im DNS konfiguriert sind.

Reproduktion des Verhaltens
Auf einem Testdomänencontroller (einzelner DC!) Löschte ich den Standard-Gateway-Eintrag und setzte DNS Server Auf delayed start. Dabei brauchte die Domain lange, um geladen zu werden, und das Netzwerk wurde als public klassifiziert. Nach dem Trennen und erneuten Anschließen des Netzwerkkabels wurde das Netzwerk korrekt als domain network Klassifiziert.


Bearbeiten

dankbar aus den Kommentaren von Daniel Fisher lennybacon und Joshua Hanley:

So fügen Sie DNS und NTDS eine Abhängigkeit für NlaSvc hinz

führen Sie sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDS über CMD aus (verwenden Sie sc.exe, wenn Sie es in PowerShell ausführen). Wenn Sie die vorhandenen Abhängigkeiten vor dem Hinzufügen von DNS und NTDS überprüfen möchten, verwenden Sie sc qc nlasvc

54
marsh-wiggle

Ich habe ein ähnliches Verhalten beim Aufstehen eines 2008 R2 AD-Servers gesehen. Ich habe mehr als eine NIC aktiviert), obwohl sie nicht verwendet wurde. Nachdem ich die nicht verwendeten NICs deaktiviert und neu gestartet hatte, war das Problem behoben.

Die genaue Windows-Funktion, mit der Sie hier konfrontiert sind, heißt NLA (Network Location Awareness). Ich weiß nicht genug darüber, um zu behaupten, ein Experte zu sein, aber ich weiß, dass es auf den Zwischenrohren einige interessante Informationen darüber gibt, wie alles funktioniert oder funktionieren soll.

1
John Homer

In meinem Fall war der Server DMZ und viele Firewall-Regeln blockierten den Server, um mit Domänencontrollern zu kommunizieren. In diesem Fall müssen Sie Firewalls (Hardware-FW) öffnen, damit Server kommunizieren können Um einen Test auszuführen, verbinden Sie den Server mit einem Netzwerk, in dem Firewall-Regeln die Kommunikation zwischen Client und Servern ermöglichen.

0
Kabul