Der Domänencontroller glaubt, dass er sich in einem öffentlichen Netzwerk befindet

Wir haben einen primären Server 2008 R2- Domänencontroller, der anscheinend eine Amnesie aufweist, wenn es darum geht, herauszufinden, in welchem ​​Netzwerk er sich befindet. Die (einzige) Netzwerkverbindung wird beim Start als 'Öffentliches Netzwerk' identifiziert.

Wenn ich die Verbindung deaktiviere und dann wieder aktiviere, stellt sich erfreulicherweise heraus, dass sie tatsächlich Teil eines Domänennetzwerks ist.

Liegt das daran, dass AD Domain Services nicht gestartet wird, wenn der Netzwerkspeicherort zum ersten Mal ermittelt wird?

Dieses Problem verursacht einige Kopfschmerzen mit Windows-Firewallregeln (von denen ich mehr als sicher bin, dass sie auf andere Weise gelöst werden können). Daher bin ich meist nur gespannt, ob jemand weiß, warum dies geschieht.

Haben Sie ein Standard-Gateway für diese Verbindung? Wird auf Ping-Anfragen geantwortet?

Windows verwendet Gateways, um Netzwerke zu identifizieren. Wenn kein Gateway konfiguriert ist oder das Pingen nicht erfolgreich ist, kann es das Netzwerk, mit dem es verbunden ist, nicht identifizieren und nimmt an, dass es sich um ein öffentliches handelt.

Ob das Netzwerk eines Domänencontrollers als Domänennetzwerk klassifiziert wird, hängt nicht von der Gateway-Konfiguration ab.

Das Verhalten einer falschen Netzwerkklassifizierung kann durch den Dienst NLA(Network Location Awareness) verursacht werden starts before the domain is available. In diesem Fall wird das öffentliche oder private Netzwerk ausgewählt und anschließend nicht korrigiert.

So überprüfen Sie, ob diese Fehlersituation vorliegt
Wenn sich der Domänencontroller nach dem Neustart im öffentlichen Netzwerk befindet, starten Sie den NLA-Dienst neu oder trennen / verbinden Sie das Netzwerk erneut. Der Domänencontroller sollte sich danach im Domänennetzwerk befinden.

Wie man es löst
Es kann hilfreich sein, den NLA-Dienst auf verzögerten Start einzustellen . Überprüfen Sie besser, warum die Domain lange anwesend sein muss. Es scheint, dass die Domain länger braucht, um zu starten, wenn mehrere Netzwerkkarten vorhanden sind.

Wenn es nicht hilft
Wenn weder das Laden der Domain noch die Verzögerung der NLA-Hilfe beschleunigt werden und der Fehler durch das lange Laden der Domain verursacht wird (siehe: "So prüfen Sie ..."), gibt es einige mehr Dinge, die getan werden können.

• Schreiben Sie ein Skript, um es neu zu starten und mit dem Scheduler auszuführen (gefährlich)

• Verschieben Sie das Laden des NLA-Dienstes auf das Ende des Dienstes, und ändern Sie die Ladereihenfolge in der Registrierung (gefährlich).

  Mit dem folgenden Registrierungseintrag werden die Abhängigkeiten auf Folgendes festgelegt NSI RpcSs TcpIp Dhcp Eventlog NTDS DNS:

  REGEDIT4
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc]
  "DependOnService"=hex(7):4e,53,49,00,52,70,63,53,73,00,54,63,70,49,70,00,44,68,\
  63,70,00,45,76,65,6e,74,6c,6f,67,00,4e,54,44,53,00,44,4e,53,00,00
  

• Führen Sie "IPCONFIG / RENEW" vom Scheduler beim Start mit einer Verzögerung von 1 oder 2 Minuten aus (besser als beim Starten des NLA-Dienstes)

• Starten Sie den NLA-Dienst nach jedem Neustart manuell neu (aber: "IPCONFIG / RENEW" sollte bevorzugt werden)!

Eine weitere Ursache kann sein, dass auf dem Domänencontroller zwei oder mehr IP-Adressen konfiguriert sind (auf derselben oder auf anderen Netzwerkkarten) und die zusätzlichen Netzwerke nicht im DNS konfiguriert sind.

Die Reproduktion des Verhaltens
Auf einem Testdomänencontroller (DC Single!) Ich löschte den Standard - Gateway - Eintrag und stellen Sie die DNS Serverauf delayed start. Dabei brauchte die Domain lange, um geladen zu werden, und das Netzwerk wurde als klassifiziert public. Nach dem Trennen und erneuten Anschließen des Netzwerkkabels wurde das Netzwerk korrekt als klassifiziert domain network.

Bearbeiten

dankbar aus den Kommentaren von Daniel Fisher lennybaconund Joshua Hanley:

Hinzufügen einer Abhängigkeit für NlaSvc zu DNS und NTDS

Führen Sie es sc config nlasvc depend=NSI/RpcSs/TcpIp/Dhcp/Eventlog/DNS/NTDSüber CMD aus (verwenden Sie sc.exe, wenn Sie es in PowerShell ausführen). Wenn Sie die vorhandenen Abhängigkeiten überprüfen möchten, bevor Sie DNS und NTDS hinzufügen, verwenden Siesc qc nlasvc

Ich habe ein ähnliches Verhalten beim Aufstehen eines 2008 R2 AD-Servers festgestellt. Ich habe mehr als eine Netzwerkkarte aktiviert, obwohl sie nicht verwendet wurde. Nachdem ich die nicht verwendeten Netzwerkkarten deaktiviert und neu gestartet hatte, verschwand das Problem.

Die genaue Windows-Funktion, mit der Sie hier konfrontiert sind, heißt NLA (Network Location Awareness). Ich weiß nicht genug darüber, um zu behaupten, ein Experte zu sein, aber ich weiß, dass es auf den Zwischenrohren einige interessante Informationen darüber gibt, wie alles funktioniert oder funktionieren soll.

In meinem Fall war der Server eine DMZ und viele Firewall-Regeln blockierten den Server, um mit Domänencontrollern zu kommunizieren. In diesem Fall müssen Sie Firewalls (Hardware-FW) öffnen, damit die Server kommunizieren können. Um einen Test durchzuführen, verbinden Sie den Server mit einem Netzwerk, in dem Firewall-Regeln die Kommunikation zwischen Client und Servern ermöglichen.

Nach der Installation eines neuen Domänencontrollers wird die "WINDOWS FIREWALL" möglicherweise nicht ordnungsgemäß auf "DOMAIN: ON" gesetzt. Dies ist eine Folge von fehlerhaften Installationsstandards, die von Microsoft bereitgestellt wurden. Um dies zu beheben, löschen Sie die IP6-DNS-Einstellungen der Netzwerkverbindung von ":: 0" zurück auf "Automatisch". Deaktivieren Sie außerdem die IP6-Weiterleitungen vom DNS-Server.