Computerkonten können nicht mehr zur Domäne hinzugefügt werden
Hallo, wir haben eine AD mit 7 DCs (300 Servern in 2003 und 2008, davon 100 Citrix, 2000 User) an verschieden Standorten in Germany. Alle Server haben unterschiedliche Sicherheitspatche. Mache das SP1 und manche leider nicht. Alles DCs sind aber Server 2008 R2 SP1. Domänenfunktionsebene ist noch 2003. Ca 6000 Objekte (User, Computer) sind vorhanden. Eine Domäne ist in der vertrauensstellung angebunden. Es hat immer alles super geklapt. Seit drei Tagen aber können keine Computerkonten mehr erstellt werden. Diese werden automatisch über das Softwareprodukt LANDesk erstellt. Auch ein manuelles Einbinden über den Domänenadministrator schlegt fehl. Als ob die Vertrauensstellung nicht mehr gegeben ist. Die Fehlermeldung ist wie folg:
Starting test: NCSecDesc
Fehler: NT-Autorität\Domänencontroller der Orgsnisation besitzt keine Replicating Directory Changes in Filtered Set
Ereignis: 5723,5722,5719 Netlogon
Also wir haben keine schreibgeschützen DCs. Vertrauensstellung wurde neu erstellt. Ein doppeltes Konto ist auch nicht vorhanden.
DNS-Fehler können auch ausgeschlossen werden.
Ich weiß nicht mehr weiter. Es läuft ja alles aber keine neuen Computerkonten mehr einzufügen ist auf die Dauer nicht so nett.
Hat einer eine Idee?
Danke
Marek
Starting test: NCSecDesc
Fehler: NT-Autorität\Domänencontroller der Orgsnisation besitzt keine Replicating Directory Changes in Filtered Set
Ereignis: 5723,5722,5719 Netlogon
Also wir haben keine schreibgeschützen DCs. Vertrauensstellung wurde neu erstellt. Ein doppeltes Konto ist auch nicht vorhanden.
DNS-Fehler können auch ausgeschlossen werden.
Ich weiß nicht mehr weiter. Es läuft ja alles aber keine neuen Computerkonten mehr einzufügen ist auf die Dauer nicht so nett.
Hat einer eine Idee?
Danke
Marek
Please also mark the comments that contributed to the solution of the article
Content-Key: 208474
Url: https://administrator.de/contentid/208474
Printed on: April 23, 2024 at 20:04 o'clock
3 Comments
Latest comment
Hallo,
die Fehlermeldung von NCSecDesc sagt nur, dass euer AD nicht für RODCs vorbereitet ist.
Zitat MS
If you do not plan to add an RODC to the forest, you can disregard this error. If you plan to add an RODC to the forest, you must run adprep /rodcprep.
Das dürfte nichts mit dem Problem zu tun haben.
grundsätzlich gilt die erste Prüfung immer dem DNS, wenn irgendwas mit dem AD nicht stimmt.
Wenn das ok ist, dann mal auf den DCs folgende Befehle eingeben:
Und schauen, ob dort Fehler ausgeben werden.
Frage: können andere Objekte, z.B. Benutzer angelegt werden? Wenn nicht, sieht es aus, als ob mit dem RID-Master etwas nicht stimmt. Das AD hat noch die Funktionsebene 2003? Dann waren da mal 2003er DCs? Vielleicht ist bei der Außerbetriebnahme etwas mit dem FSMO-Umzug schiefgegangen.
Mal folgende Befehle an den DCs eingeben:
Das gibt dir den Server aus, der die FSMO Rolle des RID-Masters hat und testet ihn dann.
Gruß
die Fehlermeldung von NCSecDesc sagt nur, dass euer AD nicht für RODCs vorbereitet ist.
Zitat MS
If you do not plan to add an RODC to the forest, you can disregard this error. If you plan to add an RODC to the forest, you must run adprep /rodcprep.
Das dürfte nichts mit dem Problem zu tun haben.
grundsätzlich gilt die erste Prüfung immer dem DNS, wenn irgendwas mit dem AD nicht stimmt.
Wenn das ok ist, dann mal auf den DCs folgende Befehle eingeben:
dcdiag
repadmin /showrepl
Frage: können andere Objekte, z.B. Benutzer angelegt werden? Wenn nicht, sieht es aus, als ob mit dem RID-Master etwas nicht stimmt. Das AD hat noch die Funktionsebene 2003? Dann waren da mal 2003er DCs? Vielleicht ist bei der Außerbetriebnahme etwas mit dem FSMO-Umzug schiefgegangen.
Mal folgende Befehle an den DCs eingeben:
dcdiag /Test:KnowsOfRoleHolders /v
dcdiag /Test:RIDManager /v
Gruß
Hallo,
gut dass es wieder geht, schlecht dass die Ursache unbekannt ist.
Leider sind hier zu wenig Infos, kann man so wirklich nicht sagen.
Ich empfehle euch aber dringend, euch das System nochmal ganz genau anzusehen. Eventlogs, DNS, Replikation, Routing, NTP, etc... Das ein AD 3 Tage lang nicht richtig arbeitet und dann einfach so wieder geht ist nicht normal. Ich fürchte, da lauert noch irgendetwas.
Gruß
gut dass es wieder geht, schlecht dass die Ursache unbekannt ist.
Leider sind hier zu wenig Infos, kann man so wirklich nicht sagen.
Ich empfehle euch aber dringend, euch das System nochmal ganz genau anzusehen. Eventlogs, DNS, Replikation, Routing, NTP, etc... Das ein AD 3 Tage lang nicht richtig arbeitet und dann einfach so wieder geht ist nicht normal. Ich fürchte, da lauert noch irgendetwas.
Gruß