Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

DNS Active Directory 4015

Frage Microsoft Windows Server

Mitglied: emporio-divine

emporio-divine (Level 1) - Jetzt verbinden

06.10.2008, aktualisiert 29.10.2008, 20357 Aufrufe, 25 Kommentare

Win2K3 Domäne mit 2 DCs
AD & DHCP & DNS

Hallo Administratoren

Folgende Fehlermeldung in den Eventlogs beider DCs:
01.
Event Type:	Error 
02.
Event Source:	DNS 
03.
Event Category:	None 
04.
Event ID:	4015 
05.
Date:		05.10.2008 
06.
Time:		12:25:12 
07.
User:		N/A 
08.
Computer:	SRV02 
09.
Description: 
10.
The DNS server has encountered a critical error from the Active Directory. Check that the Active Directory is functioning properly. The extended error debug information (which may be empty) is "000020E3: SvcErr: DSID-031B063D, problem 5002 (UNAVAILABLE), data 0". The event data contains the error. 
11.
 
12.
For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp. 
13.
Data: 
14.
0000: 34 00 00 00               4...    
Ich habe unseren allseits beliebten Freund und Helfer Google bereits genutzt.
Gefunden habe ich folgendes:
http://support.microsoft.com/?scid=kb%3Bde%3B267855&x=19&y=10
http://www.servernewsgroups.net/group/microsoft.public.windows.server.a ...
http://www.eventid.net/display.asp?eventid=4015&eventno=333&sou ...

Leider konnte ich anhand dieses Materials das Problem nicht lösen.
Oder ich steh einfach nur komplett auf dem Schlauch.
Ich habe auch einige andere Beiträge und URLs zu diesem Problem gefunden welche mir allerdings noch weniger gebracht haben.

Hinzu kommt dass ich einen 3ten DC habe der nicht funktioniert.
Wenn ich diesen mit dcpromo entfernen möchte kommt der folgende Fehler:
01.
Der Vorgang ist Fehlgeschlagen. Fehler: 
02.
Active Directory konnte die verbleibenden Daten in der Verzeichnispartition 
03.
CN=Schema,CN=Configuration,DC=domain.de,DC=de nicht zum Domänencontroller srv02.domain.de übertragen. 
04.
 
05.
"Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden."
Ich brauch den 3ten DC nicht, also kann der getrost entfernt werden.
In der Site-config habe ich den ProblemDC bereits rausgenommen.
Was natürlich nicht das Problem gelöst hat.

Die ganze Geschichte führt dazu dass ich in den DNS Lookupzonen gleiche IPs zu unterschiedlichen Hostnamen finde.
Vor allem in der Reverse Lookup Zone.
Trotz alledem funktioniert nslookup, und alle Namen werden korrekt aufgelöst.
Einzig und allein beim Problem DC funktioniert die Auflösung nicht, ich kann ihn quasi nur über die IP erreichen.
Habe auch schon die Replizierung auf nen kleineren Intervall runtergeschraubt...leider ohne Erfolg.

Über den Lösungsvorschlag von Microsoft dnscmd habe ausserdem folgendes rausgefunden:
PROBLEM-DC 3
01.
C:\Programme\Support Tools>dnscmd /info 
02.
Info query failed 
03.
    status = 1722 (0x000006ba) 
04.
 
05.
Command failed:  RPC_S_SERVER_UNAVAILABLE     1722  (000006ba)
Von DC 1 und DC 2 werden alle Infos korrekt angezeigt, beispiel:
01.
Query result: 
02.
Server info 
03.
        server name              = srv01.domain.de 
04.
        version                  = 0ECE0205 (5.2 build 3790) 
05.
        DS container             = cn=MicrosoftDNS,cn=System,DC=domain,DC=de 
06.
        forest name              = domain.de 
07.
        domain name              = domain.de 
08.
        builtin domain partition = ForestDnsZones.domain.de 
09.
        builtin forest partition = DomainDnsZones.domain.de 
10.
        last scavenge cycle      = not since restart (0) 
11.
  Configuration: 
12.
        dwLogLevel               = 00000000 
13.
        dwDebugLevel             = 00000000 
14.
        dwRpcProtocol            = FFFFFFFF 
15.
        dwNameCheckFlag          = 00000002 
16.
        cAddressAnswerLimit      = 0 
17.
        dwRecursionRetry         = 3 
18.
        dwRecursionTimeout       = 15 
19.
        dwDsPollingInterval      = 180 
20.
  Configuration Flags: 
21.
        fBootMethod                  = 3 
22.
        fAdminConfigured             = 1 
23.
        fAllowUpdate                 = 1 
24.
        fDsAvailable                 = 1 
25.
        fAutoReverseZones            = 1 
26.
        fAutoCacheUpdate             = 0 
27.
        fSlave                       = 0 
28.
        fNoRecursion                 = 0 
29.
        fRoundRobin                  = 1 
30.
        fStrictFileParsing           = 0 
31.
        fLooseWildcarding            = 0 
32.
        fBindSecondaries             = 1 
33.
        fWriteAuthorityNs            = 0 
34.
        fLocalNetPriority            = 1 
35.
  Aging Configuration: 
36.
        ScavengingInterval           = 168 
37.
        DefaultAgingState            = 0 
38.
        DefaultRefreshInterval       = 168 
39.
        DefaultNoRefreshInterval     = 168 
40.
  ServerAddresses: 
41.
 Addr Count = 3 
42.
                Addr[0] => 10.145.16.200 
43.
                Addr[1] => 192.1.1.250 
44.
                Addr[2] => 192.168.1.250 
45.
  ListenAddresses: 
46.
        NULL IP Array. 
47.
  Forwarders: 
48.
        NULL IP Array. 
49.
        forward timeout  = 5 
50.
        slave            = 0 
51.
Command completed successfully.
Ich weiss einfach nicht mehr weiter.
Sollte jemand noch eine Information brauchen, einfach fragen.

Danke an jeden der sich damit beschäftigt.

Gruß divi
25 Antworten
Mitglied: Rafiki
06.10.2008 um 14:38 Uhr
Von der Fehlermeldung und dem beschriebenen Verhalten vermute ich Probleme im Active Directory. Ich rate dazu erst die Probleme im ActiveDirectory zu beheben, damit das Replizieren aller Informationen funktioniert. Erst dann den nicht mehr benötigten 3.DC entfernen, damit die geänderte Konfiguration bei den beiden andren DC richtig ankommt.

Welche Fehler zeigt dir dcdiag an und was meldet replmon?

Prüfe mal welche Server welche Rollen (FSMO) haben. Vom PDC ausgehend mit nslookup -soa domain.de müssen die Einträge stimmen. Wenn das nicht der Fall ist würde ich die DNS Zone löschen, dann neu anlegen und mit ipconfig /registerdns die Basiseinträge wieder herstellen. Prüfe das auch der _msdcs, dc, _tcp Ordner wieder angelegt wird und die richtigen Einträge erstellt werden. Das dauert bis zu 3 Minuten.

Wenn das gelingt auch auf dem zweiten und drittem DC ipconfig /registerdns ausführen.
Wenn im Eventlog Fehler auftreten würde ich wieder bei eventlog.net suchen, bzw. hier Posten.

Gruß Rafiki

Update
Ich bevorzuge es wenn der DC sich selber als DNS zuerst fragt und dafür die IP 127.0.0.1 verwendet, also local host.
/update
Bitte warten ..
Mitglied: datasearch
06.10.2008 um 15:46 Uhr
Hallo,

sei bitte ab sofort sehr Vorsichtig. Das Problem solltest du wie folgt in den Griff bekommen:

  1. Suche den Server der die Rolle des SchemaMaster und DomainNamingMaster für deine Domäne hält
  2. Installiere auf diesem Server die Windows Support Tools (ordner: support\Tools auf der Windows-CD)
  3. Öffne die DNS-Konsole und ändere die Sicherheit der DNS-Zone deiner Domäne auf "Sichere und nicht Sichere Updaten zulassen"
  4. Ändere den primären DNS-Server in der IP-Konfiguration so, das er sich selbst als DNS-Server verwendet.
  5. Führe in der Konsole den Befehl ipconfig /registerdns und netdiag /fix aus
  6. Ändere auf dem zweitem DC den DNS-Server ebenfalls auf die IP des ersten Servers
  7. Installiere wieder die Supporttools und führe die beiden Befehle aus.
  8. Auf dem drittem DC gehst du nun genauso vor.
  9. Öffne nun auf dem 1. DC das Tool "replmon" und füge die Server DC1, DC2 und DC3 der konsole hinzu
  10. Klicke auf die einzelnen Server und wähle "Synchronize each directory partition with all servers". Wähle zur Sicherheit noch die Option "Cross Site Boundarys ....)".
  11. Sollte dies scheitern, fahre bitte alle Server herunter und starte Sie in der Folge DC1 (WARTEN BIS OS VOLLSTÄNDIG GESTARTET!!!), DC2, DC3 und versuche es nach ca. 15minuten erneut. Sollte es wieder nicht klappen, lege die DNS-Zone deiner Domäne auf dem erstem DC neu an, setze die Sicherheit wieder wie oben beschrieben und gehe wie eben beschrieben vor. Scheitert es immernoch, prüfe deine Replikationsverbindungen.
  12. Starte den DNS-Dienst auf allen Servern neu.

Nun kannst du eigentlich ziemlich sicher sein, das DNS funktioniert. Versuche nun den 3. DC erneut herunterzustufen. Sollte dies immernoch scheitern, duche mit dem Tool DCDIAG auf allen Servern nach Konfigurationsfehlern.
Bitte warten ..
Mitglied: emporio-divine
06.10.2008 um 17:43 Uhr
Hallo Rafiki,

du könntest recht haben dass es Probleme im AD gibt.
Manche Rechte werden nicht richtig übernommen. Es kann durchaus an der Replizierung liegen.
Allerdings habe ich über dcdiag was interessantes herausgefunden:
01.
   Testing server: DOM\SRV01 
02.
            Starting test: KnowsOfRoleHolders 
03.
         Warning: CN=NTDS Settings\0ADEL:fb2864bf-63bb-4307-a0a6-50ce4c732d4a,CN 
04.
=SRV01,CN=Servers,CN=GD-DOM,CN=Sites,CN=Configuration,DC=domain,DC=de is t 
05.
he Schema Owner, but is deleted. 
06.
         Warning: CN=NTDS Settings\0ADEL:fb2864bf-63bb-4307-a0a6-50ce4c732d4a,CN 
07.
=SRV01,CN=Servers,CN=GD-DOM,CN=Sites,CN=Configuration,DC=domain,DC=de is t 
08.
he Domain Owner, but is deleted. 
09.
         ......................... SRV01 failed test KnowsOfRoleHolders

Wenn ich das richtig interpretiere ist die Rolle des FSMO Role Owner gelöscht.

Den gleichen Fehler erhalte ich bei SRV02.
Allerings erhalte ich zusätzlich diesen Fehler:
01.
      Starting test: frsevent 
02.
         There are warning or error events within the last 24 hours after the 
03.
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause 
04.
         Group Policy problems. 
05.
         ......................... SRV02 failed test frsevent
Ok replmon meint, das alles in Ordnung ist.
Zumindest was die Replizierung zwischen SRV01 und SRV02 angeht.
SRV03 ist nicht erreichbar.

Unter nslookup (-soa??) domain.de scheinen die Einträge zu stimmen.

Darum lass ich den Part DNS Zone löschen & neu erstellen erstmal weg.
Bitte warten ..
Mitglied: emporio-divine
06.10.2008 um 17:48 Uhr
Hallo datasearch,

ich werde deinen vorschlag probieren...aber ich warte auf das Wochenende und mach vorher nochmal ne gründliche Sicherung. Irgendwie hab ich so ein dumpfes Gefühl das mir das mächtig in die Hose gehen wird.
Zu diesem Thema werde ich dich auf jedenfall nochmal fragen. Aber schau dir doch bitte noch die Antwort von mir an rafiki an.

Riesen Dank euch beiden (rafiki & datasearch) für die schnellen und ausführlichen Antworten.

Gruß divi
Bitte warten ..
Mitglied: emporio-divine
07.10.2008 um 11:28 Uhr
Hallo,

ich möchte nicht ins schwitzen kommen.
Darum will ich verhindern dass schlussendlich AD gar nicht mehr läuft
Ich bin kein Server Profi und alles was ich über Domänen, AD und DCs weiß habe ich mir selbst angeeignet durch lesen und probieren.
Nur weiß ich dass ich bei diesem Problem nicht probieren kann da ein Ausfall für mich nicht in Frage kommt oder kommen darf.

Ich habe jetzt mal in mmc geschaut ob der srv02 den srv01 als PDC anerkennt - das tut er.
In den NTDS Einstellungen ist die Replizierung korrekt eingestellt.
Und in rplmon scheint mit der Replizierung auch alles i.O. zu sein.

Was ich aber nicht verstehe, wieso sagt dcdiag dass srv01 PDC ist - aber gelöscht?
Bitte warten ..
Mitglied: datasearch
07.10.2008 um 12:04 Uhr
Ihc hab leider ned viel Zeit, aber ich kann dir sagen, das dein problem an den FSMO´s liegt. Bitte übertrage die Rolle des Schema und Domain naming Matsers auf einen der funktionierenden DC´s. Der DC3 wurde anscheind bereits aus dem AD gelöscht.

Am besten, um auf nummer sicher zu gehen, auf dem DC3 eine erzwungene herunterstufung durchführen, per NTDSUTIL ein metadata cleanup durchführen (auf dem DC1 oder 2) und die FSMO-Rollen auf einen funktionierenden Server übertragen (Bitte kein GC für den Schemamaster wählen).

Mein vorheriges Posting sollte nur sicherstellen das dein DNS und die Replikation funktioniert.
Bitte warten ..
Mitglied: emporio-divine
07.10.2008 um 14:02 Uhr
Ok, ich habs probiert. Aber der srv01 hat wohl keine lust wieder chef zu werden

Zum einen:
01.
C:\Program Files\Support Tools>netdom query fsmo 
02.
Schema owner                srv01.domain.de 
03.
 
04.
Domain role owner           srv01.domain.de 
05.
 
06.
PDC role                    srv02.domain.de 
07.
 
08.
RID pool manager            srv02.domain.de 
09.
 
10.
Infrastructure owner        srv02.domain.de 
11.
 
12.
The command completed successfully.
Soweit ist alles klar, aber was mich jetzt total aus der Bahn wirft:
01.
server connections: connect to server srv01 
02.
Binding to srv01 ... 
03.
Connected to srv01 using credentials of locally logged on user. 
04.
server connections: q 
05.
 
06.
fsmo maintenance: transfer schema master 
07.
ldap_modify_sW error 0x34(52 (Unavailable). 
08.
Ldap extended error message is 000020AF: SvcErr: DSID-0321034A, problem 5002 (UN 
09.
AVAILABLE), data 8 
10.
 
11.
Win32 error returned is 0x20af(The requested FSMO operation failed. The current 
12.
FSMO holder could not be contacted.) 
13.
14.
Depending on the error code this may indicate a connection, 
15.
ldap, or role transfer error. 
16.
Server "srv01" knows about 5 roles 
17.
Schema - CN=NTDS Settings\0ADEL:fb2864bf-63bb-4307-a0a6-50ce4c732d4a,CN=SRV01,CN 
18.
=Servers,CN=GD-DOM,CN=Sites,CN=Configuration,DC=domain,DC=de 
19.
Domain - CN=NTDS Settings\0ADEL:fb2864bf-63bb-4307-a0a6-50ce4c732d4a,CN=SRV01,CN 
20.
=Servers,CN=GD-DOM,CN=Sites,CN=Configuration,DC=domain,DC=de 
21.
PDC - CN=NTDS Settings,CN=SRV02,CN=Servers,CN=GD-DOM,CN=Sites,CN=Configura 
22.
tion,DC=domain,DC=de 
23.
RID - CN=NTDS Settings,CN=SRV02,CN=Servers,CN=GD-DOM,CN=Sites,CN=Configura 
24.
tion,DC=domain,DC=de 
25.
Infrastructure - CN=NTDS Settings,CN=SRV02,CN=Servers,CN=GD-DOM,CN=Sites,C 
26.
N=Configuration,DC=domain,DC=de 
27.
fsmo maintenance:
Connected to srv01 > The current FSMO holder could not be contacted ????
Was für mich so viel heisst wie dass der aktuelle "schema master" nicht übernommen werden kann da der aktuelle halter nicht erreichbar ist.

Ich würde es jetzt mit "seize schema master" probieren, nur weiß ich nicht was da schief laufen kann und ob das jetzt überhaupt der richtige weg ist?
Bitte warten ..
Mitglied: datasearch
07.10.2008 um 16:44 Uhr
Bist du dir absolut sicher, das der alte DC der da als Schemamaster steht, kein DC mehr ist oder nie wieder online kommt? Sicherheitshalber (wenn möglich) instaloliere das Betriebssystem auf diesem Server neu. Wenn du mit seize schema master die Funktion übernimmst und der alte Server wie auch immer wieder online kommt, kracht es gewaltig.

Auch solltest du VORHER den alten Server aus den Metadaten des AD entfernen (metadata cleanup).
Bitte warten ..
Mitglied: emporio-divine
07.10.2008 um 17:03 Uhr
Der DC der dort als Schema master steht also der hier:
01.
Warning: CN=NTDS Settings\0ADEL:fb2864bf-63bb-4307-a0a6-50ce4c732d4a,CN 
02.
=SRV01,CN=Servers,CN=GD-DOM,CN=Sites,CN=Configuration,DC=domain,DC=de is t 
03.
he Schema Owner, but is deleted.
ist kein alter DC. (SRV01)
Er ist definitiv Shema Owner und Domain Role Owner.
Und das soll auch so bleiben.
Es steht im prinzip ja da:
01.
=SRV01.......is the Schema Owner, but is deleted.
Der SRV02 is PDC, RID und DIM (Infrastructure Owner) < SRV02 bringt ja auch keine Fehler.

Der 3te Server den ich eigentlich löschen möchte ist quasi der SRV03.
Nur war der nie wirklich DC und konnte sich nie wirklich mit AD Synchronisieren.
Ich hab da im DCPROMO ein bisschen scheiss gebaut und darum kam das ganze gewurstel hier zustande.
Da ist gewaltig was schiefgelaufen so dass ich nicht mal mehr den SRV03 runterstufen konnte.
Darum hab ich ihn gewaltsam mit DCPROMO /FORCEREMOVAL entfernt.
Jetzt sitzt er noch in der AD Users and Computers - Domain Controllers.

1. Frage: Was passiert wenn ich den SRV03 gewaltsam aus der AD entferne?

2. Frage: Was passiert wenn ich den Hostnamen von SRV03 in SRVXY umbenenne und ihn als File Server erneut in die Domäne einbinde?

3. Frage: wie läuft das mit dem "metadata cleanup" ?


P.S.
Ich glaub ich habe mich in den Beiträgen vorher etwas missverständlich ausgedrückt.
Nochmal zur erklärung:
SRV01 - war von anfang Master DC mit den FSMO: Shema Owner und Domain Role Owner
SRV02 - war von anfang an Slave DC mit den FSMO: PDC, RID und Infrastructure Owner
SRV03 - ist vor 4 Wochen dazugekommen und sollte ebenfalls DC Slave werden. Was allerdings aufrund konfigurationsfehler nicht geklappt hat. und ab dem zeitpunkt war es quasi schon nicht mehr möglich den srv03 zu demoten/entfernen. und das war auch der zeitpunkt ab dem die ip adressen sich im dns verdoppelt haben (also gleiche ips zu unterschiedlichen hosts)

Mein Ziel ist es den SRV03 komplett zu entfernen.
Und die Server SRV01 und SRV02 wieder in den ursprünglichen Zustand zurückbringen, also die FSMO rollen sollen wieder wie früher verteilt sein.
Laut netdom query fsmo sind die Rollen immer noch so verteilt.
Laut DCDIAG hat nur SRV01 ein Problem mit den rollen. Er ist zwar nach wie vor Shema Owner und Domain role Owner aber nach dcdiag sind diese einträge gelöscht.
Bitte warten ..
Mitglied: datasearch
07.10.2008 um 23:15 Uhr
Okey, verstanden

Zuerst musst du diesen dritten DC aus der Domäne entfernen. ich denke mal, da es ein zusätzlicher Server werden sollte, ist das kein Problem. Installiere das Betriebssystem neu oder formatiere die Festplatte um sicherzugehen das der Server niemals mehr bootet.
Anschließend öffnest du auf einem funktionierendem DC das ntdsutil und wechselst in den kontex "metadata cleanup"
Wähle die Target Domain, Site und den Server (DER GELÖSCHT WERDEN SOLL) unter connections, gehe zurück und entferne den Server gewaltsam mit "remove selected server".

Nun kannst du ADSIEdit öffnen und das Serverobjekt aus der "Domain Controllers" OU entfernen. Abschließend noch unter "AD Standorte und Dienste" evt. vorhandene Verweise auf den Server entfernen.
Zum Abschluss solltest du im DNS die Zone _msdcs.domain.xy von CNAME und Locator-einträgen auf den Server befreien. Nun kannst du gefahrlos die DNS A und CNAME Einträge in der "normalen" dns-zone entfernen.

Soweit sogut. Der Server sollte nun verschwunden sein. Nun musst du prüfen, was das Problem mit den FSMO's verursacht. Bitte konfiguriere dazu beide DC's auf den selben DNS-Server (Bevorzugt der, auf dem du vorher die Bereinigung durchgeführt hast), um Probleme bei der Replikation der DNS-Partition als Fehlerquelle für dcdiag auszuschließen.

mehr zum metadata-cleanup findest du auch hier:
http://support.microsoft.com/kb/216498/de

Falls du den Server "srv-03" nicht neu aufsetzen kannst, musst du ihn zwangsweise herunterstufen bevor er jemals wieder an das Netzwerk darf. Das geht mit dem parameter /forceremoval des dcpromo.
http://support.microsoft.com/kb/332199/de
Bitte warten ..
Mitglied: emporio-divine
08.10.2008 um 09:57 Uhr
1. srv03 per "dcpromo /forceremoval" entfernt

2. metadata cleanup: der srv03 steht nicht in der "list servers in site" - also kann ich auch nix mehr da raus löschen

3. DNS: keine CNAME oder Locator einträge von diesem Server vorhanden

4. Habe ich einen Fehler entdeckt, der wahrscheinlich mit dem ganzen zusammenhängt:

---> MMC SRV01 > DNS > SRV02 > Forward Lookup Zones > domain.de > _msdcs > pdc > tcp
(tcp hat ein rotes X und zeigt keinen eintrag)
---> MMC SRV02 > gleicher Pfad wie gerade angegeben hat "pdc > tcp" einen Eintrag:
"_ldap | Service Location (SRV) | srv02.domain.de"

5. Unter ADSIEdit > Domain Controllers > kann ich den Server nur über "This domain controller is permanently offline and can no longer be demoted using dcpromo" entfernen. Habe den server03 über srv01 entfernt, srv02 hat es direkt repliziert und übernommen.

6. SRV01 > MMC > Active Directory Shema > Fehlermeldung: Snap-in failed to initialize. Name <unknown> CLSID: {632CCCF4-asdfgasdgasdf}
Aber in SRV02 > MMC > AD Shema > keine Fehlermeldung, funktioniert wunderbar.

7. Heute zusätzlich ein neuer Fehler über dcdiag rausgefunden (unter srv01 und srv02):
01.
 Starting test: frsevent 
02.
         There are warning or error events within the last 24 hours after the 
03.
         SYSVOL has been shared.  Failing SYSVOL replication problems may cause 
04.
         Group Policy problems. 
05.
         ......................... SRV01 failed test frsevent 
06.
      Starting test: kccevent 
07.
         An Error Event occured.  EventID: 0xC0000748 
08.
            Time Generated: 10/08/2008   13:02:53 
09.
            (Event String could not be retrieved) 
10.
         An Warning Event occured.  EventID: 0x8025082B 
11.
            Time Generated: 10/08/2008   13:02:53 
12.
            (Event String could not be retrieved) 
13.
         An Error Event occured.  EventID: 0xC0000748 
14.
            Time Generated: 10/08/2008   13:02:53 
15.
            (Event String could not be retrieved) 
16.
         An Warning Event occured.  EventID: 0x8025082B 
17.
            Time Generated: 10/08/2008   13:02:53 
18.
            (Event String could not be retrieved) 
19.
         An Error Event occured.  EventID: 0xC0000748 
20.
            Time Generated: 10/08/2008   13:02:53 
21.
            (Event String could not be retrieved) 
22.
         An Warning Event occured.  EventID: 0x80000785 
23.
            Time Generated: 10/08/2008   13:11:03 
24.
            Event String: The attempt to establish a replication link for 
25.
         ......................... SRV01 failed test kccevent
Bitte warten ..
Mitglied: emporio-divine
08.10.2008 um 15:25 Uhr
So langsam wirds brenzlig.
Irgendwas passiert. nur weiss ich nicht was.
Die ersten clients haben jetzt schon probleme auf bestimmte ressourcen zuzugreifen
Komischerweise wenn ich mich als admin anmelde und danach als user, gehts wieder.

*schwitz*

Nachtrag:
Punkt 6 und 7 fallen weg, die fehler kommen nicht mehr.
Bitte warten ..
Mitglied: datasearch
09.10.2008 um 00:51 Uhr
Okey, ruhe bewaren. Du hast ein Problem auf dem DC1. Woran das jetzt genau liegt, kann ich dir auf diesem Weg leider auch nicht sagen. Müsste mir das Ganze selbst einmal anschauen. Ich vermute ein Replikationsproblem oder ähnliches. Bitte konfiguriere auf beiden DC's den selben DNS-Server (dc2) und versuche mit netdiag /fix auf beiden DC's eventuelle DNS-Probleme zu eliminieren. Du musst auf jeden Fall herausfinden, was mit dc1 los ist. Wenn du dir sicher bist, das DC2 funktioniert, übertrage alle FSMO's vorrübergehend zu diesem.
Bitte warten ..
Mitglied: emporio-divine
09.10.2008 um 08:31 Uhr
Hi datasearch,

wenn ich jetzt shema owner und domain owner mit fsmo maintenance > transfer schema owner & transfer domain owner
auf DC2 übertrage, was passiert dann genau ?

Kann ich die beiden fsmos wieder ohne probleme zurückübertragen?
Kann dadurch alles noch schlimmer werden?
Infrastructure Owner und Shema Owner dem gleichen DC zu geben ist doch schlecht oder?
Bitte warten ..
Mitglied: datasearch
09.10.2008 um 15:36 Uhr
Du überträgst die FSMO-Rollen auf den funktionierenden Server. Bitte übertrage alle Rollen, bis auf den "Infrastructure master" auf DC2 und aktiviere auf DC2 den globalen Katalog. Dieser enthält einen Index bestimmter Atribute des LDAP-Verzeichnises (AD). Zum Abschluss deaktiviere auf DC1 den globalen Katalog.

Anschließend hast du wieder mehr Optionen. Die Clients verwenden nun DC2 als bevorzugten Anmeldeserver und es ist weniger Schlimm, wenn DC1 einmal kurz ausfällt.

Bitte konfiguriere auch noch in den DHCP-Optionen DC2 als primären DNS-Server für Clients. Ändere bitte auch die Zonensicherheit für die DNS-Zone "domäne.de" auf "Sichere und nicht Sichere Updates zulassen". Kann später, wenn ales funktioniert, wieder geändert werden.

Ziel ist, das alle Clients und Server DC2 als DNS-Server verwenden (inklusive DC1).

PS: Infra und Schema sind auf einem DC OK aber nicht empfohlen. Allerdings sollte niemals der Infra auf deinem DC, welcher gleichzeitig Globaler Katalog ist, ausgeführt werden. Andernfalls müsste JEDER DC in dieser Domäne ein GC sein. Hast du nur einen DC, hat dieser alle Rollen und da dieser ja "jeder DC in der Domäne ist", ist es wieder okey. Selbst wenn übergeordnete Domänen mit mehreren DC´s existieren.
Bitte warten ..
Mitglied: emporio-divine
09.10.2008 um 17:17 Uhr
Der funktionierende Server (SRV02) ist Infrastrukturmaster und GC
01.
dsquery server -domain domain.de -isgc 
02.
"CN=SRV02,CN=Servers,CN=GD-DOM,CN=Sites,CN=Configuration,DC=domain,DC=de"
SRV01 ist kein GC.
Könnten daher die Probleme kommen?

01.
C:\Program Files\Support Tools>netdom query fsmo  
02.
 
03.
Schema owner                srv01.domain.de  
04.
 
05.
Domain role owner           srv01.domain.de  
06.
 
07.
PDC role                    srv02.domain.de  
08.
 
09.
RID pool manager            srv02.domain.de  
10.
 
11.
Infrastructure owner        srv02.domain.de 
Bitte warten ..
Mitglied: datasearch
09.10.2008 um 17:21 Uhr
Okey, ändere das bitte mal. Das könnte das Problem mit verursacht haben (als du den 3. DC in die Domäne hinzufügen wolltest). Am besten den InfraMaster auf DC1 übertragen, den KCC und Netlogon Dienst neustarten und sehen was passiert.
Bitte warten ..
Mitglied: emporio-divine
09.10.2008 um 17:31 Uhr
Also ich mach jetzt quasi das hier:

ntdsutil
roles
connections
connect to server srv01
transfer infrastructure master

Danach Kerberos Key Distribution Center und Net Logon neustarten?

Und wenn ich mich dann nicht mehr Anmelden kann? :P
Bitte warten ..
Mitglied: datasearch
09.10.2008 um 17:35 Uhr
Der InfraMaster ist eigentlich keine für die Anmeldung kritische Funktion. Er Überwacht "nur" die Topologie und kümmert sich um Replikationsverbindungen, zuweisen des Bridgehead usw. Den GC auf einen anderen Server übertragen würde da wesentlich größere Kopfschmerzen verursachen.

Hier wird die Vorgehensweise auch nochmal erwähnt. Du liegst also richtig.
http://technet.microsoft.com/en-us/library/cc782485.aspx

EDIT
Sorry, oben wollte ich eigentlich KCC und nicht KCC schreiben.
/EDIT
Bitte warten ..
Mitglied: emporio-divine
09.10.2008 um 17:46 Uhr
<EDIT>
Sorry, oben wollte ich eigentlich KCC und nicht KCC schreiben.
</EDIT>


KCC oder KCC ?
Bitte warten ..
Mitglied: datasearch
09.10.2008 um 18:28 Uhr
Naja, ist heute irgendwie nicht mein Tag. KDC=Key Distribution Center, KCC= Knowledge Consistency Checker.

Also, dritter Versuch. Ich meinte KCC und nich KDC.
Bitte warten ..
Mitglied: datasearch
11.10.2008 um 15:39 Uhr
Nach einer genaueren Analyse und einigen Tests habe ich folgendes Herausgefunden.

ich habe folgende Schritte in Tests durchgeführt:
  1. promoten eines neuen DC "srv01" für eine neue Domäne "testdrive.lan"
  2. promoten eines weiteren DC "srv02" als zusätzlicher DC für "testdrive.lan"
  3. srv01 neu installieren, selben namen vergeben
  4. auf srv02 ein metadata cleanup druchführen und alle computerobjekte des alten DC entfernen
  5. promoten den neu installierten srv01 als zusätzlichen DC für "testdrive.lan"
  6. übername der Funktionen RID, PDC und Infra-Master auf "srv01"

Anschließend hatte ich fast die selben Fehlermeldungen im Eventlog. Ich vermute, irgendwann wurde dein srv01 einmal neu installiert oder ausgetausch (oder eine Sicherung eingespielt) und vergessen die beiden FSMO´s für "Schema Master" und "Domain Naming Master" zu übertragen.

Der DNS-Server meldet den kritischen Fehler im Active Directory, weil der Wert des Attributes "fSMORoleOwner" auf ein nicht existentes Objekt "CN=NTDS Settings\0ADEL:fb2864bf-63bb-4307-a0a6-50ce4c732d4a,CN=SRV01...." verwiesen hat.

Warum allerdings du den 3. DC nicht promoten konntest, konnte ich nicht herausfinden. In meiner Testumgebung konnte ich ohne "Schema" und "Naming Master" dennoch weitere Server hinzufügen. Werde ich mir aber bei Gelegenheit noch einmal genauer anschauen.

Mit der Übernahme der Funktionen des "Schema Master" und "Domain Naming Master" auf den richtigen "srv01" haben wir quasi die Attribute im AD auf das richtige Objekt gesetzt. "ntdsutil seize ... master" macht quasi nichts anderes. Der neue Rolleninhaber weiß durch abfrage dieses Attributes, das er diese Funktion ausführen soll. Zusätzlich wird von NTDSUTIL eine "Mitteilung" an den neuen FSMO gesendet, das dieser sofort die entsprechende Rolle übernimmt. Bei einem "transfer" würde eine Benachrichtigung an den alten Inhaber gesendet, das dieser diese Funktion beenden soll und sobald dies geschehen ist, der neue Inhaber benachrichtigt.

Dummerweise habe ich keine Dokumentation von MS zur genauen Funktionsweise der FSMO-Übertragung gefunden. Wie es oberflächlich funktioniert ist klar, aber was da genau passiert, ausser das das Attribut im LDAP geändert und der Quellserver kontaktiert wird, ist unklar. Wieder eine schöne Beschäftigung das herauszufinden Naja, der alte Server, falls vorhanden, darf desshalb nicht mehr gebootet werden, da er noch über eine alte Version des AD verfügt, in der steht, das er diese Funktion ausübt und diese dann natürlich auch startet.

Ich denke, du kannst das Problem nun schließen und dich auf andere Dinge konzentrieren.
Bitte warten ..
Mitglied: emporio-divine
29.10.2008 um 12:01 Uhr
Hallo datasearch,

interessant was du da herausgefunden hast.
Aber was ich noch viel interessanter finde dass du wegen diesem Problem eine Testumgebung aufgesetzt hast

Warum ich den 3ten DC nicht promoten konnte hat sicher noch eine andere Ursache gehabt. Welche kann ich aber auch nicht mehr nachvollziehen.

Vielen Dank für deine Bemühungen.

Wir lesen hoffentlich noch voneinander.

Gruß divi
Bitte warten ..
Mitglied: datasearch
29.10.2008 um 12:42 Uhr
Es ließ mir einfach keine Ruhe. Herauszufinden wie so etwas verursacht werden kann, ich doch schon die Mühe wert. Testumgebung ist schnell aufgesetzt, "Deploy from Template" ... 10min Später habe ich 3 neue Server . Also nicht wirklich Aufwand.

Hauptsache es läuft bei dir wieder alles und ich habe wieder ein neues Szenario. Deshalb hilft man ja anderen, um selbst zu lernen und dieses Wissen wieder an andere weiterzugeben .
Bitte warten ..
Mitglied: emporio-divine
29.10.2008 um 17:47 Uhr
Machst du dann alles über VMWare?
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Server
Dieser active directory domänencontroller schein der letzte dns (3)

Frage von homermg zum Thema Windows Server ...

Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (19)

Frage von patz223 zum Thema Windows Userverwaltung ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (15)

Link von Penny.Cilin zum Thema Viren und Trojaner ...