Windows Server 2019: Domäne: Netzlaufwerk lässt sich nicht verbinden

[mf_2]

Hallo zusammen,

in meiner Domäne gibt es einen neuen Windows 11 Client. Das Beitreten zur Domäne hat geklappt. Nun will ich ein Netzlaufwerk verbinden. Das scheitert jedoch mit folgender Meldung:

Folgende Historie:
Die Domäne hatte ich initial mit einem Windows Server 2012 R2 DC aufgesetzt. Das lief einige Jahre. Nun kam ein zweiter DC mit Windows Server 2019 hinzu, der den alten DC ablösen soll. Seitdem kann ich die Netzlaufwerke nicht mehr verbinden. Der Domänenbenutzer ist der gleiche wie schon seit Jahren.
Der Client nutzt als DNS-Server den neuen DC. Dort läuft der Windows DNS Server.
Via "ping <domäne>" kann ich den neuen DC anpingen.

Leider ist die obige Fehlermeldung nicht sehr informativ. Wie kann ich den Fehler weiter eingrenzen?

Viele Grüße,
mf_2

 

[_anonymous0815_]

Die Freigabe, also das Netzlaufwerk liegt auf dem DC?

 

[mf_2]

Nein, die liegt auf einem Synology NAS.

 

[_Sebu_]

Musst du den Client auf dem DC eventuell noch in eine andere (berechtigte) Computergruppe verschieben?

Edit: rejoin schon versucht?

 

[mf_2]

Musst du den Client auf dem DC eventuell noch in eine andere (berechtigte) Computergruppe verschieben?

Edit: rejoin schon versucht?

Client ist in derselben Gruppe wie der alte Client von dem es ging.
Rejoin brachte keine Besserung.
Ich vermute, dass beim Hinzufügen des zweiten DC etwas schief ging.
Wenn ich mir den Log des DNS Servers ansehe, so finde ich das hier:

The DNS server was unable to create a resource record for 5e6c205c-e79f-4919-adec-e855db4a0822._msdcs.contoso-gmbh.int. in zone CONTOSO-GMBH.INT. The Active Directory definition of this resource record is corrupt or contains an invalid DNS name. The event data contains the error.

Wie kann man das beheben?
Edit: Die entsprechende Zone enthielt einen Fehler bei der Ermittlung der Server-IP. Den habe ich korrigiert. Aber der eigentliche Fehler ist noch da. Wenn ich das in der Kommandozeile ausführe bekomme ich die gleiche Fehlermeldung, aber immerhin eine Fehlernummer: "Systemfehler 1311 aufgetreten.".

 

[redjack1000]

Führe auf beiden Servern

ipconfig /all

aus und poste das Ergebnis in das Forum.

Cu
redjack

 

[mf_2]

Führe auf beiden Servern

ipconfig /all

aus und poste das Ergebnis in das Forum.

Cu
redjack

Ergebnis für den neuen Server (DC02):

Windows IP Configuration

Host Name . . . . . . . . . . . . : CONTOSO-DC02
Primary Dns Suffix . . . . . . . : CONTOSO-GMBH.INT
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : CONTOSO-GMBH.INT

Ethernet adapter Ethernet Instance 0:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 02-11-32-22-64-6F
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2003:fa:ef16:1200:702f:409d:8d62:567e(Preferred)
Link-local IPv6 Address . . . . . : fe80::8d49:bba5:5481:1eaf%16(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.0.234(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::3a10:d5ff:fe49:ae05%16
DHCPv6 IAID . . . . . . . . . . . : 369234226
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-2B-01-5B-FF-00-0C-29-B8-26-CF
DNS Servers . . . . . . . . . . . : 192.168.0.234
192.168.0.240
NetBIOS over Tcpip. . . . . . . . : Enabled

Ergebnis für den alten Server (DC01):

Windows IP Configuration

Host Name . . . . . . . . . . . . : CONTOSO-DC01
Primary Dns Suffix . . . . . . . : CONTOSO-GMBH.INT
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : Yes
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : CONTOSO-GMBH.INT

Ethernet adapter Ethernet Instance 0:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
Physical Address. . . . . . . . . : 02-11-32-24-EC-C8
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv6 Address. . . . . . . . . . . : 2003:fa:ef16:1200:fdd1:a1c7:a41c:53c3(Pre
ferred)
Link-local IPv6 Address . . . . . : fe80::fdd1:a1c7:a41c:53c3%16(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.0.230(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : fe80::3a10:d5ff:fe49:ae05%16
192.168.0.1
DHCPv6 IAID . . . . . . . . . . . : 419565874
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-23-CB-D3-7E-00-0C-29-6B-C1-55

DNS Servers . . . . . . . . . . . : 192.168.0.240
192.168.0.234
NetBIOS over Tcpip. . . . . . . . : Enabled

Ethernet adapter Ethernet:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft KM-TEST Loopback Adapter
Physical Address. . . . . . . . . : 02-00-4C-4F-4F-50
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::6d2d:32fc:2f4:b89d%14(Preferred)
IPv4 Address. . . . . . . . . . . : 192.168.30.2(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.1
DHCPv6 IAID . . . . . . . . . . . : 386007116
DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-23-CB-D3-7E-00-0C-29-6B-C1-55

DNS Servers . . . . . . . . . . . : 192.168.0.240
NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter isatap.{D896968E-4116-4C54-ACCF-3F1B5195EEF1}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.{4B006F65-4689-49A5-BF3A-B8D2EBDD7412}:

Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes

 

[redjack1000]

Was macht die 192.168.0.240 in dem Netzwerk?

CU
redjack

 

[mf_2]

Das ist eine PiHole Maschine für Ad-Blocking.

 

[redjack1000]

Den kannst Du dann nicht als ersten DNS auf dem DC01 nutzen, das geht in die Hose

Das PiHole gehört da nicht hin. Setze die 234 als ersten DNS und konfiguriere dein DNS System so, das es mit dem PiHole spricht bzw. DNS Infos austauscht.

Ist auf dem DC01 das AD noch aktiv?

Cu
redjack

 

[mf_2]

Den kannst Du dann nicht als ersten DNS auf dem DC01 nutzen, das geht in die Hose

Anhang anzeigen 1329592

Das PiHole gehört da nicht hin. Setze die 234 als ersten DNS und konfiguriere dein DNS System so, das es mit dem PiHole spricht bzw. DNS Infos austauscht.

Ist auf dem DC01 das AD noch aktiv?

Cu
redjack

Auf dem DC01 ist nun der 192.168.0.234 als erster DNS eingetragen. Als zweiter DNS ist nichts eingetragen.
Woran erkenne ich ob auf dem DC01 das AD noch aktiv ist? Die entsprechenden Rollen sind noch installiert.

Der Fehler ist immer noch da. Auch folgende Befehlskette auf dem Client brachte keine Besserung:

gpupdate /force
ipconfig /flushdns
ipconfig /renew

Auf dem DC02 ist der PiHole als zweiter DNS konfiguriert, dort habe ich den nun auch entfernt und die Befehle auf dem Client nochmals durchgeführt. Leider keine Besserung. Der Client nutzt aber noch zwei DNS Server: 192.168.0.234 (DC02) sowie den PiHole. Den DNS am Client statisch eintragen (nur den DC02) löst es leider auch nicht.

 

[redjack1000]

Führe auf beiden Server folgendes aus

nslookup CONTOSO-GMBH.INT

Poste das Ergebnis in das Forum.

Die entsprechenden Rollen sind noch installiert.

Dann gehen wir mal davon aus, das es noch aktiv ist.

Cu
redjack

 

[mf_2]

Die Ausgabe ist auf beiden Servern identisch:

Server: CONTOSO-DC02.CONTOSO-GMBH.INT
Address: 192.168.0.234

Name: CONTOSO-GMBH.INT
Addresses: 2003:fa:ef16:1200:702f:409d:8d62:567e
192.168.0.234

 

[t-6]

Am ersten DC:
Trage in den DNS-Einstellungen den anderen DC (zweiter DC) als primären DNS-Server ein.
Trage beim sekundären DNS-Server die 127.0.0.1 ein.
Keine weiteren DNS-Server.

Beim zweiten DC:
Trage in den DNS-Einstellungen den anderen DC (erster DC) als primären DNS-Server ein.
Trage beim sekundären DNS-Server die 127.0.0.1 ein.
Keine weiteren DNS-Server.

Bei beiden DCs:
Trage in den Einstellungen des DNS-Servers bei den Weiterleitungen den PiHole als alleinigen Forwarder ein. Keine anderen DNS-Server.
Respektive, du kannst weitere Forwarder als den PiHole eintragen, aber ausschließlich solche die "nach außen" auflösen, also bspw. deinen Router (sofern der nicht selber wieder auf den PiHole forwardet) oder externe DNS-Server wie die deines ISPs, Quad9, 1.1.1.1 & Co., aber dann ist die Funktion des PiHole nicht verlässlich zu erwarten.

An den Domänen-Clients: Ausschließlich die DCs bei den DNS-Servern eintragen. Keine anderen.

edit: Wirf bei dem einen DC den Loopback-Adapter raus. Verwirrt nur. DCs gehören nicht dual-homed.

 

[mf_2]

Die DNS-Einstellungen sind auf beiden DCs nun angepasst.
An den Clients sind nun nur die DCs als DNS-Server drin (via DHCP, der entsprechende Server läuft auf dem DC01).
Der Loopback-Adapter ist nun entfernt.

Wie trage ich den PiHole als Forwarder ein?
Unter "Conditional Forwarders"?

Der Client kann das Netzlaufwerk immer noch nicht verbinden.

Ergänzung (25. Februar 2023)

Es klappt nun!
Ich habe ein Share auf einem anderen Client erfolgreich als Netzlaufwerk auf meinem Client einbinden können. Da wurde ich stutzig. Daher habe ich das NAS aus der Domäne geworfen und wieder hinzugefügt und nun geht es. Einerseits toll, weil es geht. Andererseits komisch, weil ich die genaue Ursache nun nicht kenne.

Bleibt noch die Sache mit dem PiHole.

 

[redjack1000]

Dann scheint DNS schon mal zu funktionieren.

Wie trage ich den PiHole als Forwarder ein?

Öffne die DNS Verwaltungskonsole und trage die IP-Adresse von PiHole unter Weiterleitungen ein.

CU
redjack

 

[mf_2]

Sorry, ich stehe auf dem Schlauch.

Da muss ich noch die Domain eintragen, oder bin ich im falschen Fenster? Welche Domain kommt da rein? CONTOSO-GMBH.INT? Und die IP des PiHole dann bei "IP Address"?

 

[BFF]

Du bist da an der falschen Stelle.
Das geht in den Eigenschaften -> Forwarders

-> https://www.server-world.info/en/note?os=Windows_Server_2019&p=dns&f=10

 

[redjack1000]

Da bist Du verkehrt

Und dann

Cu
redjack

 

[mf_2]

Vielen Dank!