Toon posts:

[2ksrv]AD site clients over WAN loggen traag in *

Pagina: 1
Acties:

dinsdag 17 februari 2004 15:51

Acties:

Verwijderd

Topicstarter
Inlog problemen..

Ik zal de situatie even proberen te schetsen..

Locatie a:

DC1(DNS,DHCP)|DC2 ----> Werkstations Lokatie A


------WAN-----

Locatie b:

DC3(DNS,DHCP) -----> Werkstations Lokatie B


We hebben dus hier 2 domain controllers staan en op locatie b staat ook een domain controller. alle domain controllers zitten in hetzelfde domain.

De werkstations op locatie a verwijzen naar de dns in locatie a en in locatie b naar die van b

Het probleem is nu dat het inloggen van de mensen in drachten zeer lang duurt (3 a 4 minuten )

Ik heb van ALLES geprobeerd maar kom er niet meer uit. Wie kan mij hiermee helpen?

ik had hiervoor ook problemen met NSlookup, ik kreeg de volgende melding:

C:\>nslookup int.mijndomain.com

*** Can't find server name for address 192.168.0.10: Non-existent domain

*** Default servers are not available

Server: UnKnown

Address: 192.168.0.10


Name: int.mijndomain.com

Addresses: 192.168.0.11, 192.168.0.10, 192.168.4.15


Dit probleem heb ik opgelost door de reverse zone aan te maken, deze was nog niet aanwezig.

maar als ik het volgende doe...

Z:\>nslookup
Default Server: fmgfile01.int.mijndomain.com
Address: 192.168.0.10

> ls -d int.mijndomain.com
[fmgfile01.int.mijndomain.com]
*** Can't list domain int.mijndomain.com: Query refused
>

ook krijg ik met netdiag een vage melding:

LDAP test. . . . . . . . . . . . . : Passed

[WARNING] Failed to query SPN registration on DC 'FMGEXACT01.int.mijndomain.com'.

[WARNING] Failed to query SPN registration on DC 'FMGFILE01.int.mijndomain.com'.

[WARNING] Failed to query SPN registration on DC 'fmgpink01.int.mijndomain.com'.


Bindings test. . . . . . . . . . . : Passed

[ Voor 8% gewijzigd door Verwijderd op 18-02-2004 09:36 ]

dinsdag 17 februari 2004 16:15

Acties:
  • The Genie
  • Registratie: April 2000
  • Laatst online: 23-01 17:01

The Genie

Ik zou de Net Logon services op alle DC's even herstarten. Hierdoor wordt een herregistratie van de SRV records in DNS gedaan..

dinsdag 17 februari 2004 16:21

Acties:

Verwijderd

Topicstarter
The Genie schreef op 17 februari 2004 @ 16:15:
Ik zou de Net Logon services op alle DC's even herstarten. Hierdoor wordt een herregistratie van de SRV records in DNS gedaan..
heb ik gisteren "helaas" net gedaan zonder resultaat.

dinsdag 17 februari 2004 16:25

Acties:
  • The Genie
  • Registratie: April 2000
  • Laatst online: 23-01 17:01

The Genie

Is je Netbios domeinnaam anders dan het eerste deel van je DNS domeinnaam?
Ik kwam dit artikel bij Microsoft tegen.

http://support.microsoft....aspx?scid=kb;EN-US;297384

dinsdag 17 februari 2004 16:37

Acties:

Verwijderd

Topicstarter
The Genie schreef op 17 februari 2004 @ 16:25:
Is je Netbios domeinnaam anders dan het eerste deel van je DNS domeinnaam?
Ik kwam dit artikel bij Microsoft tegen.

http://support.microsoft....aspx?scid=kb;EN-US;297384
kwam ik door zoeken ook een aantal keren tegen... allen staat het onderstaande er ook in.. en alle machines hebben sp4 of xp

Microsoft has confirmed that this is a problem in the Microsoft products that are listed at the beginning of this article. This problem was first corrected in Windows 2000 Service Pack 3.

dinsdag 17 februari 2004 17:14

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
.Heb je de machines wel in sites staan, zoals je met 'Active Directory Sites and Services' kan inrichten ? En is er per locatie een Global Catalog ? Halen users misschien om wat voor reden dan ook een profiel of policy van je andere locatie ? Welk service pack ?

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 17 februari 2004 17:28

Acties:

Verwijderd

heb je clients voor win2k?

je ls -d query refused komt door een instelling van de dns (allow zonetransfers). op zich goed dat het zo staat overigens.

dinsdag 17 februari 2004 18:08

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 17 februari 2004 @ 17:28:
heb je clients voor win2k?

je ls -d query refused komt door een instelling van de dns (allow zonetransfers). op zich goed dat het zo staat overigens.
Oke, dat verklaard die foutmelding, allow zonetransfers staat zo ingesteld dat alleen de andere dns server een transfer mag doen dus dat zou goed kunnen dan.

dinsdag 17 februari 2004 18:11

Acties:

Verwijderd

Topicstarter
sanfranjake schreef op 17 februari 2004 @ 17:14:
.Heb je de machines wel in sites staan, zoals je met 'Active Directory Sites and Services' kan inrichten ? En is er per locatie een Global Catalog ? Halen users misschien om wat voor reden dan ook een profiel of policy van je andere locatie ? Welk service pack ?
Alle SERVERS staan in dezelfde site. En er is maar één Global catalog en die staat op locatie B. profielen zijn locaal en policies staan wel allemaal netjes op de server van locatie B..

dinsdag 17 februari 2004 18:21

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Als die locatie Drachten lokatie A is zou dat het probleem kunnen verklaren. Alle clients gaan dan in de aanmeldingsprocedure contact zoeken met de GC op locatie B. Mijn advies is om het eens op te delen. Site A en Site B, beide sites een GC. Gaat het dan sneller ? Belast iig je WAN ook wat minder :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

woensdag 18 februari 2004 09:09

Acties:

Verwijderd

Topicstarter
Ik heb de Server op locatie B GC gemaakt dus ik wacht weer even af of dat resultaat heeft.

't vreemde is dat op locatie A het ook af en toe voorkomt dat het inloggen zeer lang duurt, ook komt er dan een fout in het logboek te staan:

Type gebeurtenis: Fout
Bron van gebeurtenis: Userenv
Categorie van gebeurtenis: Geen
Gebeurtenis-ID: 1000
Datum: 18-2-2004
Tijd: 8:14:45
Gebruiker: NT AUTHORITY\SYSTEM
Computer: FMGPCHIEMSTRA
Beschrijving:
Kan de domeincontrollernaam voor het computernetwerk niet verkrijgen. Geretourneerde waarde: 59.

.

Dit staat in het logboek van een Windows XP systeem in locatie B:

Event Type: Error
Event Source: Userenv
Event Category: None
Event ID: 1054
Date: 18-2-2004
Time: 10:16:03
User: NT AUTHORITY\SYSTEM
Computer: PINKPCADMIN
Description:
Kan de domeincontrollernaam voor het computernetwerk niet verkrijgen. Er is een onverwachte netwerkfout opgetreden. . Het verwerken van het groepsbeleid wordt afgebroken.

[ Voor 38% gewijzigd door Verwijderd op 18-02-2004 10:25 ]

woensdag 18 februari 2004 10:46

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

offtopic:
pinkadmin als in pink roccade? en het dan niet voor elkaar krijgen?

woensdag 18 februari 2004 10:48

Acties:

Verwijderd

Topicstarter
mutsje schreef op 18 februari 2004 @ 10:46:
offtopic:
pinkadmin als in pink roccade? en het dan niet voor elkaar krijgen?
Nope

woensdag 18 februari 2004 11:01

Acties:
  • mutsje
  • Registratie: September 2000
  • Laatst online: 07-05 09:20

mutsje

Certified Prutser

had je deze van www.eventid.net al bekeken? staat ongeveer in het midden van alle gevonden event 1000 topics.

Source Userenv
Type Error
Description Windows cannot obtain the domain controller name for your computer network. Return value (<error code>).
Things to understand How does a client find an NT domain controller?
How does a client find an AD domain controller?
What are the Windows error codes?
Comments C. Beck (Last update 10/11/2003):
Error: 1722 - Our company was receiving this error on all devices in one of our remote sites. I found out after 4 days of investigation that the WAN router for that site had an ACL that was blocking port 135-139. This caused group policy to fail during logons.

Janåke Rönnblom (Last update 9/8/2003):
In my case this error was due to a firewall that was blocking ICMP messages (ping) from the member server to the domain controller. Windows 2000 does a ping to the domain controller and if it doesn’t get trough, this message gets logged once in a while. I think the ping is used to determine the speed of the connection when loading profiles.

Adrian Grigorof (Last update 6/3/2003):
- 59 = "An unexpected network error occurred." - This may indicate a problem with the physical network (cables, fault NICs or hubs). See also the link to error code 59.
- 2146 = "The specified component could not be found in the configuration information." See the link for error code 2146 for a generic explanation of this error.

From a newsgroup post: "Do the following to ensure that the SRV records for the AD servers are in DNS properly (from the DOS prompt):
nslookup
set type=srv
_ldap._tcp.dc._msdcs.YOURDOMAIN.COM

You should see something like this:
_ldap._tcp.dc._msdcs.YOURDOMAIN.COM SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = server1.YOURDOMAIN.COM
_ldap._tcp.dc._msdcs.YOURDOMAIN.COM SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = server2.YOURDOMAIN.COM
server1.YOURDOMAIN.COM internet address = 1.1.1.2
server2.YOURDOMAIN.COM nternet address = 1.1.1.1

If you don't, then you definitely have a DNS problem. I would also recommend running the dcdiag and netdiag utilities on your domain controllers. If you find that the servers aren't in DNS, then make sure dynamic updates are enabled on your DNS server and restart the netlogon server on each of your DCs.

Event ID 1054 generated on Windows XP is quite similar to this one. See also the suggestions listed there.

Guy Goodenough
Account:NT AUTHORITY\SYSTEM. I have also run into this issue when migrating to Active Directory. After a support call to Microsoft, it seems the issue is with downlevel DCs (NT 4.0 BDCs) authenticating users to the domain. There is a bug that is corrected in both SRP1 and SP3 that addresses the problem, however you must reconfigure clients/servers to authenticate to the domain via a Windows 2000 DC.
Steps to fix the issue:
- Apply the SRP1 or SP3 to your Windows 2K domain controllers and clients.
- Stop and Disable the NETLOGON service on all downlevel domain controllers.
- Login and verify the the authenticating domain controller using the SET command.
- This applies to anything that uses NT authentication (Services, Applications, ODBC System DSNs, etc.)
- If your still having the problem, make certain that the given account is not logged into another machine(s) on the network.
The interesting part about this is that it doesn't happen immediately after promoting the initial AD domain controller. I have had it happen at several client sites and in each case, the problem did not surface until several days after the migration. I suggest once the AD controller comes online, disable the NETLOGON service on the downlevel DCs.
Finally, make very certain that your clients/servers are configured correctly for DNS.

Anonymous
In my case, this started after I installed Norton Internet Security. I removed it and everything went back to normal.

Anonymous
Error 2146 = "The specified component could not be found in the configuration information." I found this on my Domain Controller event log, it turned out to be related to some stress testing software installed on 4 PCs. A fith PC had the server version of this software installed. The four "client" PCs had this software in their startup folder. These four PCs were booted up and logged onto the network (the errors where at the same time thses PCs were logged onto before the fith pc had. Thus, they could not find the PC that they had been configured to point at and this error occured on the domain controller. I've removed the shortcut form their startup folder and the errors have gone.
See also the link to error code 2146.

Klaus Wilms
Error code 59: It comes from the BlackICE firewall which I installed on the Windows 2000 Terminal Server. It blocks the loopback test and the dc-lookup test and by default the traffic from 127.0.0.1. See also the link to error code 59.

Marco Nielsen
Error code: 10106 - Also had the NetLogon and Kerberos services failed. The article Q299451 helped me to solve the problem. The cause was corrupted TCP/IP stack.
Links Event ID 1054, Q299451 , Error code 59 , Error code 2146 , Error code 10106

woensdag 18 februari 2004 11:29

Acties:

Verwijderd

Kan de domeincontrollernaam voor het computernetwerk niet verkrijgen. Er is een onverwachte netwerkfout opgetreden. . Het verwerken van het groepsbeleid wordt afgebroken.
dit is meestal een dns probleem.
bestaan de server records?
niet toevallig een externe dns server opgegeven bij de clients, etc...

woensdag 18 februari 2004 12:03

Acties:

Verwijderd

Topicstarter
From a newsgroup post: "Do the following to ensure that the SRV records for the AD servers are in DNS properly (from the DOS prompt):
nslookup
set type=srv
_ldap._tcp.dc._msdcs.YOURDOMAIN.COM

You should see something like this:
_ldap._tcp.dc._msdcs.YOURDOMAIN.COM SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = server1.YOURDOMAIN.COM
_ldap._tcp.dc._msdcs.YOURDOMAIN.COM SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = server2.YOURDOMAIN.COM
server1.YOURDOMAIN.COM internet address = 1.1.1.2
server2.YOURDOMAIN.COM nternet address = 1.1.1.1

Dit krijg ik dus niet..

woensdag 18 februari 2004 15:25

Acties:

Verwijderd

wijst je dns server naar zichzelf?

woensdag 18 februari 2004 15:48

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 18 februari 2004 @ 15:25:
wijst je dns server naar zichzelf?
jups,

ik heb nogeens dat nslookup verhaal geprobeerd en nu werkt het wel, ik heb dns zon transfer to all servers aan gezet..

[ Voor 30% gewijzigd door Verwijderd op 18-02-2004 16:23 ]

donderdag 19 februari 2004 10:24

Acties:

Verwijderd

Topicstarter
Ik kan me nog iets anders herinneren.

Als ik daar inlogde als Administrator ging het wel snel het inloggen, zeer onlogisch maar iedere keer als ik dit deed bleef de boel niet 3 minuten hangen.

donderdag 19 februari 2004 10:32

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Verwijderd schreef op 19 februari 2004 @ 10:24:
Ik kan me nog iets anders herinneren.

Als ik daar inlogde als Administrator ging het wel snel het inloggen, zeer onlogisch maar iedere keer als ik dit deed bleef de boel niet 3 minuten hangen.
Gaat het aanmelden nu sneller sinds de 'Global Catalog' aanwezig is op de tweede AD-site ? Of had deze administrator bijvoorbeeld geen zwervend profiel ?

[ Voor 3% gewijzigd door sanfranjake op 19-02-2004 10:33 ]

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

donderdag 19 februari 2004 17:31

Acties:

Verwijderd

Topicstarter
sanfranjake schreef op 19 februari 2004 @ 10:32:
[...]

Gaat het aanmelden nu sneller sinds de 'Global Catalog' aanwezig is op de tweede AD-site ? Of had deze administrator bijvoorbeeld geen zwervend profiel ?
Nee, dit heeft niets geholpen, en ik maak geen gebruik van roaming profiles dus dat is ook niet het probleem, maar ik denk ook dat het probleem eerder in het traject zit, al VOOR profiel, policies etc worden geladen aangezien je al in het inlogscherm een hele tijd blijft hangen (je username en wachtwoord scherm wordt grijs en gaat pas weg na een minuut ofzo)

Op de pc's waar ik dit probleem dus had, logde ik na een reboot in als administrator en het syseem ging in één keer door. Kan en firewall ook roet in 't eten gooien?

't verkeer gaat nu namelijk zo

Locatie A -> Symantec (Router/firewall/vpn) -> Modem (Cisco 828) -> WAN -> "Core Router Internet provider binnen ons gebouw" -> Symantec (router firewall vpn) -> Linux Firewall (met routing tables) -> Netwerk Locatie A.

{Ik weet het ziet er gek uit,er ligt een plan om hier gewoon een PIX neer te zetten en op locatie A ook dan al die andere sjit er tussen weg (dit werkt namelijk niet echt probleemloos)}
Pagina: 1
Reageer