0
Replikation zwischen 2 DCs funktioniert nicht
Guten Abend zusammen!
Ich benötige etwas Hilfe zur Vorgehensweise bei Replikationsfehler zwischen zwei Windows 2003 Domaincontrollern (ein SBS und ein Standard).
Folgendes Szenario:
Zwei Domänencontroller, einer mit Windows 2003 SBS, der andere mit Windows 2003 standard (beide haben alle Updates). Diese beiden replizieren sich jeweils auf den anderen.
Server1 (SBS inkl. Exchange; hält alle FSMO Rollen)
Server 2 ("Backup"-DC)
Nun kam, ohne jede Änderung an den beiden (zumindest soweit ich weiß), die Meldung von einigen Mitarbeitern, dass sie sich nicht mehr mit dem Exchange verbinden können, sprich Outlook bleibt im Status "getrennt". Bei einigen Mitarbeitern kommt aber auch beim öffnen von Outlook auch ein Fenster in dem Benutzername und Passwort abgefragt wird, allerdings führt die Eingabe nur dazu, dass das Fenster erneut erscheint. Ein Abrufen der Mails ist somit nicht möglich.
Da die meisten keine Probleme haben und nach mehreren Neustarts auch (manchmal) wieder eine Verbindung möglich ist, zudem der Outlook Web Access für alle problemlos funktioniert, habe ich zunächst auf ein clientseitiges Problem getippt.
Bei der Kontrolle der Eventlogs ist mir allerdings aufgefallen, dass die Replikation zwischen den beiden DCs seit 2 Tagen fehlschlägt. Beim Versuch der manuellen Replikation von
Server1 auf Server2 treten keine Probleme auf (Meldung: Active Directory hat die Verbindung repliziert), von
Server2 auf Server1 kommt jedoch die Fehlermeldung "Zielprinzipalname ist falsch" und er bricht ab.
Meine spontane Reaktion war der versuch den Server2 aus der Domäne zu nehmen (dcpromo). Dies scheitertejedoch mit folgender Fehlermeldung:
Eine kurze Such leitete mich nun auf den Windows KB288167 - "Der Ziel-Principal Name ist falsch" beim manuellen Replizieren von Daten zwischen Domänencontrollern.
Der hier besprochene Lösungsansatz beinhaltet das zurücksetzen des Computerkennwors mittels "netdom resetpwd".
Einen dort angegebene Fehler:
kann ich ebenfalls reproduzieren. Und zwar beim aufruf von
"net view \\server1" von Server2 aus.
Der Aufruf "net view \\server2" von Server1 aus funktioniert tadellos.
DNS funktioniert problemlos, netdiag und dcdiag bringen diesbezüglich keine Fehlermeldungen.
Nach soviel Text nun zu meiner eigentlichen Frage:
Kann ich "netdom resetpwd" bedenkenlos ausführen? Habe schon Horrorgeschichten von nicht mehr funktionierenden ADs nach diesem Aufruf gehört. Wenn ja auf welchem DC muss das ausgeführt werden (Server1 oder Server2)?
Oder ist es eventuell sinnvoller den Server2 mittels "dcpromo /forceremoval" rauszunehmen, die Metadaten aufzuräumen und ihn wieder einzubinden?
Zu guter letzt zeigt mir der Vorfall, dass ich noch einiges im Bezug auf AD zu lernen habe... Kennt jemand eine gute Resource (Bücher, Paper, Webseiten, alles willkommen)...
So nun bedanke ich mich schon Mal für das lesen meines Romans und hoffe auf Empfehlungen. Bei Unklarheiten einfach nachfragen.
mfg
Christian aka Mable
p.S.: Dass mir niemand garantieren wird, dass durch "netdom" nichts kaputt geht, ist mir klar, mir geht es eher um eure Erfahrung...
Zwei Domänencontroller, einer mit Windows 2003 SBS, der andere mit Windows 2003 standard (beide haben alle Updates). Diese beiden replizieren sich jeweils auf den anderen.
Server1 (SBS inkl. Exchange; hält alle FSMO Rollen)
Server 2 ("Backup"-DC)
Nun kam, ohne jede Änderung an den beiden (zumindest soweit ich weiß), die Meldung von einigen Mitarbeitern, dass sie sich nicht mehr mit dem Exchange verbinden können, sprich Outlook bleibt im Status "getrennt". Bei einigen Mitarbeitern kommt aber auch beim öffnen von Outlook auch ein Fenster in dem Benutzername und Passwort abgefragt wird, allerdings führt die Eingabe nur dazu, dass das Fenster erneut erscheint. Ein Abrufen der Mails ist somit nicht möglich.
Da die meisten keine Probleme haben und nach mehreren Neustarts auch (manchmal) wieder eine Verbindung möglich ist, zudem der Outlook Web Access für alle problemlos funktioniert, habe ich zunächst auf ein clientseitiges Problem getippt.
Bei der Kontrolle der Eventlogs ist mir allerdings aufgefallen, dass die Replikation zwischen den beiden DCs seit 2 Tagen fehlschlägt. Beim Versuch der manuellen Replikation von
Server1 auf Server2 treten keine Probleme auf (Meldung: Active Directory hat die Verbindung repliziert), von
Server2 auf Server1 kommt jedoch die Fehlermeldung "Zielprinzipalname ist falsch" und er bricht ab.
Meine spontane Reaktion war der versuch den Server2 aus der Domäne zu nehmen (dcpromo). Dies scheitertejedoch mit folgender Fehlermeldung:
Zitat von [DCPromo]:
Die Verwaltung der Netzwerksitzung mit server1.domain.local ist fehlgeschlagen
"Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig"
Die Verwaltung der Netzwerksitzung mit server1.domain.local ist fehlgeschlagen
"Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig"
Eine kurze Such leitete mich nun auf den Windows KB288167 - "Der Ziel-Principal Name ist falsch" beim manuellen Replizieren von Daten zwischen Domänencontrollern.
Der hier besprochene Lösungsansatz beinhaltet das zurücksetzen des Computerkennwors mittels "netdom resetpwd".
Einen dort angegebene Fehler:
Zitat von [KB288167]:
In manchen Fällen wird eine Fehlermeldung des Typs "Zugriff verweigert" angezeigt, wenn Sie net view \\Computername verwenden, um die Verbindung zu einem Domänencontroller herzustellen, der die Betriebsmasterfunktion PDC-Emulator innehat. Wenn Sie jedoch die IP-Adresse verwenden, wird der Befehl möglicherweise erfolgreich ausgeführt.
In manchen Fällen wird eine Fehlermeldung des Typs "Zugriff verweigert" angezeigt, wenn Sie net view \\Computername verwenden, um die Verbindung zu einem Domänencontroller herzustellen, der die Betriebsmasterfunktion PDC-Emulator innehat. Wenn Sie jedoch die IP-Adresse verwenden, wird der Befehl möglicherweise erfolgreich ausgeführt.
kann ich ebenfalls reproduzieren. Und zwar beim aufruf von
"net view \\server1" von Server2 aus.
Der Aufruf "net view \\server2" von Server1 aus funktioniert tadellos.
DNS funktioniert problemlos, netdiag und dcdiag bringen diesbezüglich keine Fehlermeldungen.
Nach soviel Text nun zu meiner eigentlichen Frage:
Kann ich "netdom resetpwd" bedenkenlos ausführen? Habe schon Horrorgeschichten von nicht mehr funktionierenden ADs nach diesem Aufruf gehört. Wenn ja auf welchem DC muss das ausgeführt werden (Server1 oder Server2)?
Oder ist es eventuell sinnvoller den Server2 mittels "dcpromo /forceremoval" rauszunehmen, die Metadaten aufzuräumen und ihn wieder einzubinden?
Zu guter letzt zeigt mir der Vorfall, dass ich noch einiges im Bezug auf AD zu lernen habe... Kennt jemand eine gute Resource (Bücher, Paper, Webseiten, alles willkommen)...
So nun bedanke ich mich schon Mal für das lesen meines Romans und hoffe auf Empfehlungen. Bei Unklarheiten einfach nachfragen.
mfg
Christian aka Mable
p.S.: Dass mir niemand garantieren wird, dass durch "netdom" nichts kaputt geht, ist mir klar, mir geht es eher um eure Erfahrung...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 139631
Url: https://administrator.de/contentid/139631
Printed on: April 19, 2024 at 14:04 o'clock
