derwowusste
Goto Top

NLA auf Domänencontroller - unerwartetes Verhalten

Moin.

Hier ist gerade folgendes Verhalten aufgefallen:
Wir haben 2 DCs. Nach einem geplanten Reboot (Wartung am Stromnetz) ist der eine einige Minuten vor dem anderen wieder hochgefahren worden.

Während der zweite kein Problem hat, hat sich die Netzwerkkarte des zuerst gebooteten DCs in das Netzwerkprofil "öffentlich" anstatt "Domäne" gesetzt, was zur Folge hatte, dass diverse Ports geschlossen waren, die offen sein sollen. Dieser Zustand änderte sich auch nicht von alleine, sondern die Karte musste erst deaktiviert, dann wieder aktiviert werden.

Dafür ist ja der Dienst "network location awareness" ("NLA") verantwortlich. Nun schreibt ja Microsoft
the domain network location type is detected when the local computer is a member of an Active Directory domain, and the local computer can authenticate to a domain controller for that domain through one of its network connections.
was ja auch stimmt, nur wie soll das bei DCs denn überhaupt funktionieren, wenn einmal wie bei uns beide down sind?

Content-Key: 519946

Url: https://administrator.de/contentid/519946

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: Spirit-of-Eli
Lösung Spirit-of-Eli 28.11.2019 um 13:26:49 Uhr
Goto Top
Moin,

ist bei dem betreffenden DC denn auch als DNS erst er selbst und dann der zweite eingetragen?
Die ganze NLA Thematik kann echt ein Graus sein.
In dieser Konstellation sollte das eigentlich nicht auftreten. Ansonsten wurde mal empfohlen den NLA Dienst verzögert zu starten.

Gruß
Spirit
Mitglied: sabines
sabines 28.11.2019 aktualisiert um 13:32:24 Uhr
Goto Top
Moin,

ich mache das seit Jahren anders rum, also erster DNS der andere und dann als zweiten den eigenen, hakt auch nicht wenn beide DCs down sind/waren, ist aber größtenteils noch 2008R2, vielleicht sind neuere Server Versionen empfindlicher.

Gruss
Mitglied: sabines
sabines 28.11.2019 um 13:33:18 Uhr
Goto Top
Moin,

welche Serverversionen sind das und ob das feste IPs sind, muss ich bei Dir nicht fragen face-wink

Gruss
Mitglied: Bitboy
Lösung Bitboy 28.11.2019 um 13:34:00 Uhr
Goto Top
Hi,

schau dir mal diesen Beitrag an.
https://serverfault.com/questions/362374/domain-controller-thinks-its-on ...

Hatte das Problem auch und hab den NLA Dienst auf verzögerter Start gesetzt und weg wars.

Grüße
Mitglied: DerWoWusste
DerWoWusste 28.11.2019 aktualisiert um 13:41:50 Uhr
Goto Top
Um gleich auf alle 4 einzugehen:

-feste IPs ist klar.
-Server 2016 1607 (aktuell)
-in seiner NIC ist als erster DNS der andere DC eingetragen und als zweiter 127.0.0.1 (das ist so empfohlen von MS)

Ich denke auch, dass ich bei NLA einfach eine Abhängigkeit von den Diensten NTDS und DNS einrichten werde, und fertig.
Mitglied: emeriks
Lösung emeriks 28.11.2019 aktualisiert um 14:29:43 Uhr
Goto Top
Hallo DWW,
das wird ein Nebeneffekt des Insel-Effekts sein. Da der erste DC beim Start allein war, und ich vermute die DNS-Zone AD-integriert ist, hat er sein AD nicht rechtzeitig starten können und das NLA hat zwischenzeitlich keine Domäne ermitteln können.

Dafür haben bei uns folgenden Würgarround eingesetzt:
  • Wir haben einen Nicht-DC als DNS mit klassicher Sekundär-Zone
  • bei geplanten Blackouts (alle DC aus) bekommt der "Master"-DC (mit dem bevorzugtend DNS) diesen Member-Server-DNS temporär als 1. DNS-Server eingetragen.
  • der Member-Server-DNS wird nach dem Blackout als erstes gestartet
  • dann der "Master"-DC
  • dann alle anderen DC's
  • dann der "Master"-DC wieder auf "normal" konfiguriert

Bei ungeplanten Blackouts muss man eben von Hand eingreifen. Aber sowas passiert bei uns im Rechenzentrum hoffentlich nie. Bisher noch nicht.

E.
Mitglied: DerWoWusste
DerWoWusste 28.11.2019 um 13:48:12 Uhr
Goto Top
Ich denke, mein Würgaround gefällt mir da besser, emeriks. Aber ja, ich denke auch, der Inseleffekt ist es.
Mitglied: psannz
psannz 28.11.2019 aktualisiert um 14:00:37 Uhr
Goto Top
Sers,

das Problem kenne ich leider auch. Tritt übrigends auch auf, wenn du nur einen DC hast.

was ja auch stimmt, nur wie soll das bei DCs denn überhaupt funktionieren, wenn einmal wie bei uns beide down sind?
Eigentlich sollte der DC ja auf sich selbst auflösen können. Klappt halt nicht, wenn der NLA sich mal wieder verhaspelt hat. Wie so oft...


Ich habs mit einem PoSh Skript gelöst, das nach dem Systemstart auf den Servern läuft.
Vereinfacht:
while((Get-NetConnectionProfile).name -ne "domain.name")  
{
   Restart-Service -Name "NlaSvc" -Force  
   Start-Sleep -Seconds 60
}
Mitglied: emeriks
emeriks 28.11.2019 aktualisiert um 14:31:59 Uhr
Goto Top
@psannz
Interessanter Ansatz. Aber warum dann nicht gleich mit Set-NetConnectionProfile vorgeben, statt den Dienst neu zu starten?
Mitglied: DerWoWusste
DerWoWusste 28.11.2019 aktualisiert um 15:11:57 Uhr
Goto Top
@psannz

Jou, das hatte ich auch als Möglichkeit gesehen. @emeriks: weil es nicht geht. Versuch es mal, spaßeshalber (auf einem Client).
Mitglied: emeriks
emeriks 28.11.2019 um 15:28:13 Uhr
Goto Top
Warum soll das nicht gehen?

$P = Get-NetConnectionProfile -InterfaceAlias Ethernet
$P.NetworkCategory = "DomainAuthenticated"  
Set-NetConnectionProfile -InputObject $P

Oder was übersehe ich?
Mitglied: DerWoWusste
DerWoWusste 28.11.2019 aktualisiert um 15:58:48 Uhr
Goto Top
Du übersiehst den Unterschied zwischen Theorie und Praxis.
Windows erlaubt es nicht, manuell auf Domäne umzustellen, da dies ein Herabsetzen der Firewallregeln bedeutet.
Nur Windows selbst darf entscheiden dass die Karte Teil eines Domänenverbundenen PCs ist, nicht einmal der Admin.
Mitglied: emeriks
emeriks 28.11.2019 um 16:10:48 Uhr
Goto Top
OK. Das ist es also.
Aber, um Dein beschriebenes Problem zu lindern, könnte man ja dann alternativ vorrübergehend auf "Private" stellen, oder?
Mitglied: DerWoWusste
DerWoWusste 28.11.2019 um 23:51:47 Uhr
Goto Top
Ja, wenn private schon passed voreingestellt ist, schon.
Ich bin mit "meinem" Workaround und auch der Alternative von psannz schon sehr zufrieden.