Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden

[axel-peter]

Hallo Fachinformatiker Gemeinde!

Wir haben in unserem Firmennetzwerk ein größeres Problem.

Die Clients finden wohl den DC nicht. Hier der Fehlercode aus der Ereignisanzeige:

"Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen." Userenv/1054

Natürlich habe ich im Netz schon nach Ursachen gesucht. Meist handelt es sich um ein DNS-Problem. DNS funktioniert aber in diesem Netzwerk (meiner Meinung nach) tadellos.

Woran kann das noch liegen?

Gruß Axel

[janlutmeh]

Hallo Alex,

wie hast du DNS getestet?

Zunächst bitte die Clients testen. Welcher DNS wird abgefragt, funktioniert die Abfrage.

Am DC prüfen ob er auf sich selbst verweist. Wurde die Konfiguration kürzlich geändert, bitte die Einträge in den Zonen prüfen.

Gern gesehen sind auch mit dcdiag und netdiag am DC das System prüfen.

Welche Probleme treten denn auf, ausser dem Eintrag? Lassen sich neue Systeme zur Domäne hinzufügen. Funktionieren sonstige DNS Geschichten (surfen etc.).

Gruß

Lutz

[axel-peter]

Hallo Lutz,

mit unzähligen pings und nslookups von Client zu Server und umgekehrt.

Bei den Clients wird der korrekte DNS abgefragt. Auch surfen, Netzlaufwerkmapping usw funktioniert. Es lassen sich auch problemlos neue Clients in die Domain hinzufügen.

Was genau meinst du damit, ob der DC auf sich selbst verweist?

Ein weiteres Problem ist, dass die Gruppenrichtlinien nicht auf die Clients "verteilt" werden. Das seltsame ist, dass mir die einzelnen Richtlinien auf den Clients im "Richlinienergebinssatz" zwar angezeigt werden aber als "nicht übernommen (leer)" angezeigt werden, wobei eine Richtlinie als "übernommen" erscheint...

netdiag:

Computer Name: PDC

DNS Host Name: pdc.xxx.com

System info : Microsoft Windows Server 2003 (Build 3790)

Processor : x86 Family 6 Model 2 Stepping 3, GenuineIntel

List of installed hotfixes :

KB2079403

KB2115168

KB2121546

KB2124261

KB2141007

KB2158563

KB2160329

KB2183461

KB2229593

KB2259922

KB2279986

KB2286198

KB2296011

KB2345886

KB2347290

KB2360131

KB2360937

KB2378111

KB2387149

KB2393802

KB2412687

KB2416451

KB2419635

KB2423089

KB2440591

KB2443105

KB2443685

KB2476490

KB2476687

KB2478953

KB2478960

KB2478971

KB2479628

KB2482017

KB2483185

KB2485376

KB2485663

KB2497640

KB2503658

KB2503665

KB2506212

KB2506223

KB2507618

KB2507938

KB2508272

KB2508429

KB2509553

KB2510587

KB2511455

KB2518295

KB2524375

KB2524426

KB2530548

KB2535512

KB2536276

KB2536276-v2

KB2544521

KB2544893

KB2555917

KB2559049

KB2562485

KB2562937

KB2566454

KB2567680

KB2570222

KB2570791

KB923561

KB924667-v2

KB925902-v2

KB926122

KB927891

KB930178

KB932168

KB933854

KB936357

KB938127

KB938464-v2

KB938759-v4

KB941569

KB942830

KB942831

KB943055

KB943460

KB943729

KB944338-v2

KB944653

KB945553

KB946026

KB948496

KB950759

KB950762

KB950974

KB951748

KB952004

KB952069

KB952954

KB953298

KB954155

KB954550-v5

KB954600

KB955069

KB955759

KB956572

KB956802

KB956803

KB956844

KB957097

KB958469

KB958644

KB958687

KB958869

KB959426

KB960225

KB960803

KB960859

KB961063

KB961118

KB961371-v2

KB961501

KB967715

KB967723

KB968389

KB968537

KB968816

KB969059

KB969805

KB969883

KB969947

KB970238

KB970430

KB970483

KB970653-v3

KB971029

KB971032

KB971468

KB971557

KB971633

KB971657

KB971737

KB971961

KB972270

KB973037

KB973346

KB973354

KB973507

KB973540

KB973687

KB973815

KB973825

KB973869

KB973904

KB973917-v2

KB974112

KB974318

KB974392

KB974571

KB975025

KB975467

KB975558_WM8

KB975560

KB975562

KB975713

KB977290

KB977816

KB977914

KB978037

KB978262

KB978338

KB978542

KB978601

KB978695

KB978706

KB979306

KB979309

KB979482

KB979559

KB979683

KB979687

KB979907

KB980182

KB980195

KB980218

KB980232

KB980436

KB981322

KB981350

KB981550

KB981793

KB981957

KB982132

KB982214

KB982381

KB982666

KB982802

Q147222

Netcard queries test . . . . . . . : Passed

GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]

[WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets.

GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]

Per interface results:

Adapter : LAN-Verbindung 4

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : pdc

IP Address . . . . . . . . : 192.168.4.2

Subnet Mask. . . . . . . . : 255.255.255.0

Default Gateway. . . . . . : 192.168.4.1

Dns Servers. . . . . . . . : 192.168.4.1

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed

[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped

There are no WINS servers configured for this interface.

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed

List of NetBt transports currently configured:

NetBT_Tcpip_{216E4198-710A-452D-89B0-F80B0352726C}

1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed

[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Failed

[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.4.1'. Please wait for 30 minutes for DNS server replication.

[FATAL] No DNS servers have the DNS records for this DC registered.

Redir and Browser test . . . . . . : Passed

List of NetBt transports currently bound to the Redir

NetBT_Tcpip_{216E4198-710A-452D-89B0-F80B0352726C}

The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser

NetBT_Tcpip_{216E4198-710A-452D-89B0-F80B0352726C}

The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped

No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

Als Info: Der DC ist nicht der DNS Server. Der DNS Server ist eine Linux-basierende Firewall namen pfSense.

Geändert wurde nichts...

Gruß Axel

[Chief Wiggum]

Lokaler DNS Server sollte in einem reinen Windwos Netz der (einer der) Windows DCs sein - AD ist DNS integriert.

"Fremde" DNS Server haben damit Probleme.

Also: der Server wird alleiniger DNS Server für die Clients, es erfolgt eine Weiterleitung (im DNS auf dem Win-Server einzustellen) auf die Linux-Box.

[Szel]

Ein weiteres Problem ist, dass die Gruppenrichtlinien nicht auf die Clients "verteilt" werden. Das seltsame ist, dass mir die einzelnen Richtlinien auf den Clients im "Richlinienergebinssatz" zwar angezeigt werden aber als "nicht übernommen (leer)" angezeigt werden, wobei eine Richtlinie als "übernommen" erscheint...

Fehlen Client Side Extensions?

[janlutmeh]

DNS test . . . . . . . . . . . . . : Failed

[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.4.1'. Please wait for 30 minutes for DNS server replication.

[FATAL] No DNS servers have the DNS records for this DC registered.

Was zu beweisen war. Erklärung und Abhilfe hat der Chief ja schon beschrieben.

Gruß

Lutz

[Tiro]

Ah. Mein Lieblingsfehler. Die Lösung dieses Problems hat mich ein Jahr meines Lebens gekostet.

Drei mögliche Ursachen:

1) es ist eine Gigabit-NIC, die auf automatische Geschwindigkeit steht. Lösung: einmal umstellen auf 100 MBit Vollduplex, neu starten.

2) FAQ-GPO

und mittlerweile bei "uns" die häufigste Ursache

3) Setzen eines Regkeys

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"GpNetworkStartTimeoutPolicyValue"=dword:0000003c

und da unter Umständen die 60 (=3c) etwas erhöhen.

Man sieht auf einen Blick ob es funktioniert hat, wenn man rsop.msc laufen läßt und es weder ein "X" noch ein "!" gibt. ;-)

[axel-peter]

Vielen Dank für die Antworten.

Zum Verständnis:

Ich habe jetzt auf dem DC die Forward- und Reverse lookupzonen eingerichtet.

Die Linuxbox fungiert auch als DHCP. Hier wird anstatt der Linuxbox jetzt der DC als DNS für die Clients angegeben.

Aber was meint ihr mit der Weiterleitung? Wo genau muss ich was konfigurieren?

Und welchen DNS gebe ich auf dem DC in den Netzwerkkonfigurationen an? Den DC selbst oder die Linuxbox?

Gruß

[axel-peter]

Danke Tiro, das werde ich als nächstes ausprobieren, sofern die DNS Geschichte keine Abhilfe schafft...

[Eye-Q]

So wie Du es jetzt eingerichtet hast, ist das schon in Ordnung, es wäre natürlich noch besser, wenn der Windows-Server auch den DHCP spielt, da dann das DHCP auch AD-integriert ist und sich das DNS dadurch automatisch aktualisiert, wenn sich ein Client eine neue Adresse holt.

Auf dem DC solltest Du seine eigene IP-Adresse als DNS-Server eintragen.

[axel-peter]

Ich habe nun am DC und an 2 Testclients diese Konfigurationen vorgenommen. Die Clients geben keine Fehlermeldung mehr aus. Auch in der netdiag-Ausgabe erscheint bei DNS: passed...

Das Problem mit den Gruppenrichtlinien besteht aber leider weiterhin (siehe Anhang).

Gruß

edit: es gibt weder ein "!" noch ein "X"...

Bearbeitet 6. September 2011 von axel-peter

[Tiro]

Das "X" oder "!" wäre auch schon früher zu sehen. (Bild)

[axel-peter]

Wo das X und ! zu sehen wäre, ist mir schon klar. Aber hier bitteschön

[Tiro]

was sagt gpresult /h gpreport.html ?

[axel-peter]

Dort steht eigentlich dasselbe wie in meinem Anhang im Post von 13.14 Uhr, soweit ich das sehe.

Hier der das Ergebnis:

C:\Dokumente und Einstellungen\xx.xx>gpresult

Betriebssystem Microsoft ® Windows ® XP Gruppenrichtlinienergebnis-Tool v2.0

Copyright © Microsoft Corp. 1981-2001

Am 06.09.2011 um 14:39:54 erstellt

RSOP-Ergebnisse für xx\xx auf xx : Protokollierungsmodus

------------------------------------------------------------------------

Betriebssystemtyp: Microsoft Windows XP Professional

Betriebssystemkonfiguration: Mitglied der Domäne/Arbeitsgruppe

Betriebssystemversion: 5.1.2600

Domänenname: xx

Domänentyp: Windows 2000

Standortname: Standardname-des-ersten-Standorts

Zwischengespeichertes Profil:

Lokales Profil: C:\Dokumente und Einstellungen\xxx.xxx

Langsame Verbindung? Nein

COMPUTEREINSTELLUNGEN

----------------------

CN=xx,CN=Computers,DC=xx,DC=com

Zeit der letzten Gruppenrichtlinienanwendung: 06.09.2011 at 13:44:16

Gruppenrichtlinie wurde angewendet von: pdc.xxx.com

Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Domänenrichtlinie

Richtlinien der lokalen Gruppe

Der Computer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

Administratoren

Jeder

Benutzer

NETZWERK

Authentifizierte Benutzer

xxx$

Domänencomputer

BENUTZEREINSTELLUNGEN

----------------------

CN=xx xx,OU=MyUsers,DC=xx,DC=com

Zeit der letzten Gruppenrichtlinienanwendung: 06.09.2011 at 13:44:27

Gruppenrichtlinie wurde angewendet von: pdc.xx.com

Gruppenrichtlinienschwellenwert für langsame Verbindung: 500 kbps

Angewendete Gruppenrichtlinienobjekte

--------------------------------------

Bildschirmschoner 15min mit Kennwortschutz

Die folgenden Gruppenrichtlinie werden nicht angewendet, da sie herausgefilt

ert wurden.

----------------------------------------------------------------------------

------------

Kennwortrichtlinie

Filterung: Nicht angewendet (Leer)

WSUS

Filterung: Nicht angewendet (Leer)

Userprofile

Filterung: Nicht angewendet (Leer)

Remotedesktopuntersützung aktiv

Filterung: Nicht angewendet (Leer)

LogonSkript

Filterung: Nicht angewendet (Leer)

Überwachungsrichtlinie

Filterung: Nicht angewendet (Leer)

Domänenrichtlinie

Filterung: Nicht angewendet (Leer)

Klassische Anmeldung

Filterung: Nicht angewendet (Leer)

NTP für Clients

Filterung: Nicht angewendet (Leer)

Kontosperrungsrichtlinie

Filterung: Nicht angewendet (Leer)

Richtlinien der lokalen Gruppe

Filterung: Nicht angewendet (Leer)

Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen:

-----------------------------------------------------------

Domänen-Benutzer

Jeder

Benutzer

Administratoren

INTERAKTIV

Authentifizierte Benutzer

LOKAL

Verwaltung

Orca-Server

Domänen-Admins

[Tiro]

Da wirst Du Dir mal eine GPO rauspicken und untersuchen müssen, warum sie gefiltert wird. Ist uU die Verebung abgeschaltet oder blockiert etc.

btw: tritt eigentlich Fehler 1054 noch im Eventlog auf?

[axel-peter]

Also an den GPO´selbst sollte es nicht liegen. Ich hab nämlich extra heute eine neue GPO angelegt. Vererbung ist bei allen aktiv, GPO´s sind mit der richtigen OU verknüpft und aktiviert.

Der Fehler 1054 tritt seit der DNS "Umstellung" nicht mehr auf...

[axel-peter]

weis keiner mehr weiter?

[pantsoff]

Um was für eine GPO handelt es sich genau?

Wie sind die Sicherheitsberechtigungen? Haben die entsprechenden User

Das Recht "lesen" und "GPO anwenden"?

Was sagt gpresult/r ?

User oder COmputer GPO?

[axel-peter]

Es handelt sich um mehrere GPO´s, nicht um eine explizit. Unter anderem die Konfiguration von NTP, eine Passwortrichtlinie, eine Richtlinie, dass die klassische Anmeldung verwendet werden soll usw...

Es handelt sich um reine User-GPO´s, keine Computer GPO´s. Insgesamt habe ich 9 GPO´s erstellt und alle sind mit der OU "MyUsers" verknüpft und aktiviert. Auf den Clients wird aber nur eine von den 9 GPO´s angewendet. Die anderen 8 werden nicht übernommen.

Das habe ich bereits alles gepostet, auch gpresult 4 Posts vorher...

Ich hoffe, ihr könnt mir weiterhelfen.

Gruß

[axel-peter]

Leute ich brauch eure Hilfe. Weis denn keine mehr was. Ich bin ratlos...

[Tiro]

Es handelt sich um reine User-GPO´s, keine Computer GPO´s.

Das wird Dein Problem sein sowie der Verknüpfungspunkt.

zB Richtlinien zur Kennwörtern funktionieren nur auf Domänenebene und nicht in (Unter-)OUs.

Such mal unter Group Policy Search nach Deinen GPOs und prüfe ob Deine GPO überhaupt am richtigen "Platz" ist ;-)

[axel-peter]

Das wars, vielen vielen Dank. Ich hab die GPO´s alle auf Domänenebende verknüpft und schon funktioniert es

Aber die Group Policy Search verstehe ich nicht ganz. Wo steht dort, an welchen "Platz" die GPO gehört, sprich, an welcher Stelle die GPOs verknüpft werden müssen?

Nehmen wir als Beispiel \System\Windows Time Service\Time Providers\

[Tiro]

Wo steht dort

Ich meinte den "Category Path" und nicht den Verknüpfungspunkt im AD.

Manche GPOs sind nur für Computer und manche nur für Benutzer.

Alles unterhalb von "Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Kontorichtlinien" funktioniert beispielsweise nur auf Domänenebene. Außerhalb davon gilt diese Policy nur für lokale(!) Benutzer.