Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domaincontroller nicht synchron

Frage Microsoft Windows Server

Mitglied: frankh68

frankh68 (Level 1) - Jetzt verbinden

13.10.2013 um 14:42 Uhr, 4755 Aufrufe, 16 Kommentare

Hallo zusammen:

Habe ein etwas kniffliges Problem:

Wir haben eine klassische Windows Domäne mit 2 DC's: PDC + BDC ( OS beide = Windows Server 08/R2 ).

Habe heute festgestellt, dass die Computerkonten in der jeweiligen Active Directory -Verwaltung nicht synchron sind. Neue Computerkonten werden lediglich am PDC erzeugt, welche beim BDC nicht erscheinen. Habe es mit folgendem Befehl am BDC versucht: "repadmin /syncall". Hat aber nichts geholfen.

Hat jemand eine Idee ?

VG
Frank
Mitglied: Dani
13.10.2013 um 15:31 Uhr
Moin,
PDC + BDC
Gibt es schon länger nicht mehr. Alle DCs sind gleichwertig und einer besitzt alle FSMO-Rollen.

1) Was spuckt dcdiag auf beiden DCs aus?
2) Was sagen die Ereignisanzeigen auf beiden? Vor und nachdem repadmin /all
3) Gab es in der Vergangenheit Stromausfall o.ä. oder war einer der DCs länger ( >90Tage) ausgeschalten?
4) Sind die Uhrzeiten/Datum auf beiden Servern identisch und stimmen überein mit der Weltuhr?
5) Beide Server lösen sich richtig via DNS-Namen auf (nslookup dc1, nslookup dc2, nslookup ip-dc1, nslookup ip-dc2) - jeweils auf beiden DCs ausführen?
6) Was geben beide DCs aus, wenn du repadmin /showrepl ausführst?


Grüße,
Dani
Bitte warten ..
Mitglied: frankh68
13.10.2013 um 15:39 Uhr
Hi Dani,

danke für die superschnelle Antwort. Mittlerweile habe ich das Problem aber lösen können: Die Replikation war am DC1 ausgeschaltet. Per "repadmin /options {dc1} -disable_outbound_repl" habe ich die Replikation wieder aktiviert. Beide DC's sind sind jetzt wieder synchron. Ursache war - vermute ich - eine Imagebackup -Wiederherstellung von DC2 letzte Woche.

Vielen Dank nochmal.

VG
Frank
Bitte warten ..
Mitglied: Dani
13.10.2013 um 15:41 Uhr
Moin Frank,
Ursache war - vermute ich - eine Imagebackup -Wiederherstellung von DC2 letzte Woche.
Mutig...


Grüße,
Dani
Bitte warten ..
Mitglied: goscho
14.10.2013 um 09:07 Uhr
Moin
Zitat von frankh68:
Ursache war - vermute ich - eine Imagebackup -Wiederherstellung von DC2 letzte Woche.
Bist du wirklich sicher, dass es damit erledigt ist?
Schau noch mal nach, dass du keinen USN-Rollback bei dir in deinem AD hast.
How to detect and recover from a USN rollback in Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2
Bitte warten ..
Mitglied: frankh68
14.10.2013 um 10:40 Uhr
Hallo,

falls ja, dann gehe ich richtig davon aus, der Einfachheit zuliebe folgende Schritte durchzuführen:

1) Demote DC2 zu Memberserver
2) Bereinigung via ADSIEDIT
3) Neue Integration des ehem. DC2 als Backup DC, alternativ separate Maschione ( sind alles virtuelle Maschinen )

Viele Gruesse
Frank
Bitte warten ..
Mitglied: frankh68
14.10.2013 um 11:57 Uhr
Hallo,

habe beim Backupdoaincontroller "DMC" nochmal DCDIAG laufen lassen. Irgendwie hat er noch Probleme bei mit der Replizierung:


Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = DMC
        • Identifizierte AD-Gesamtstruktur.
        Sammeln der Ausgangsinformationen abgeschlossen.

        Erforderliche Anfangstests werden ausgeführt.

        Server wird getestet: Default-First-Site-Name\DMC
        Starting test: Connectivity
        ......................... DMC hat den Test Connectivity bestanden.

        Primärtests werden ausgeführt.

        Server wird getestet: Default-First-Site-Name\DMC
        Starting test: Advertising
        Achtung: Von DMC werden keine Ankündigungen als Zeitserver
        vorgenommen.
        ......................... DMC hat den Test Advertising nicht
        bestanden.
        Starting test: FrsEvent
        ......................... DMC hat den Test FrsEvent bestanden.
        Starting test: DFSREvent
        ......................... DMC hat den Test DFSREvent bestanden.
        Starting test: SysVolCheck
        ......................... DMC hat den Test SysVolCheck bestanden.
        Starting test: KccEvent
        ......................... DMC hat den Test KccEvent bestanden.
        Starting test: KnowsOfRoleHolders
        ......................... DMC hat den Test KnowsOfRoleHolders
        bestanden.
        Starting test: MachineAccount
        ......................... DMC hat den Test MachineAccount bestanden.
        Starting test: NCSecDesc
        ......................... DMC hat den Test NCSecDesc bestanden.
        Starting test: NetLogons
        ......................... DMC hat den Test NetLogons bestanden.
        Starting test: ObjectsReplicated
        ......................... DMC hat den Test ObjectsReplicated
        bestanden.
        Starting test: Replications
        [Replications Check,DMC] Bei einer kürzlich ausgeführten Replikation
        ist ein Fehler aufgetreten:
        Von PDC nach DMC
        Namenskontext:
        DC=DomainDnsZones,DC=verwaltung,DC=ziegler-design,DC=local
        Beim Replizieren ist ein Fehler aufgetreten (8606):
        Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erste
        llen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht oder in die Samml
        ung veralteter Objekte aufgenommen wurde.

        Auftreten des Fehlers: 2013-10-14 10:57:36.
        Letzter erfolgreicher Vorgang: 2013-09-02 07:59:19.
        Seit dem letzten erfolgreichen Vorgang sind 1363 Fehler
        aufgetreten.
        ......................... DMC hat den Test Replications nicht
        bestanden.
        Starting test: RidManager
        ......................... DMC hat den Test RidManager bestanden.
        Starting test: Services
        ......................... DMC hat den Test Services bestanden.
        Starting test: SystemLog
        ......................... DMC hat den Test SystemLog bestanden.
        Starting test: VerifyReferences
        ......................... DMC hat den Test VerifyReferences bestanden.


        Partitionstests werden ausgeführt auf: ForestDnsZones
        Starting test: CheckSDRefDom
        ......................... ForestDnsZones hat den Test CheckSDRefDom
        bestanden.
        Starting test: CrossRefValidation
        ......................... ForestDnsZones hat den Test
        CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: DomainDnsZones
        Starting test: CheckSDRefDom
        ......................... DomainDnsZones hat den Test CheckSDRefDom
        bestanden.
        Starting test: CrossRefValidation
        ......................... DomainDnsZones hat den Test
        CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: Schema
        Starting test: CheckSDRefDom
        ......................... Schema hat den Test CheckSDRefDom bestanden.
        Starting test: CrossRefValidation
        ......................... Schema hat den Test CrossRefValidation
        bestanden.

        Partitionstests werden ausgeführt auf: Configuration
        Starting test: CheckSDRefDom
        ......................... Configuration hat den Test CheckSDRefDom
        bestanden.
        Starting test: CrossRefValidation
        ......................... Configuration hat den Test
        CrossRefValidation bestanden.

        Partitionstests werden ausgeführt auf: verwaltung
        Starting test: CheckSDRefDom
        ......................... verwaltung hat den Test CheckSDRefDom
        bestanden.
        Starting test: CrossRefValidation
        ......................... verwaltung hat den Test CrossRefValidation
        bestanden.

        Unternehmenstests werden ausgeführt auf: verwaltung.ziegler-design.local
        Starting test: LocatorCheck
        ......................... verwaltung.ziegler-design.local hat den Test
        LocatorCheck bestanden.
        Starting test: Intersite
        ......................... verwaltung.local hat den Test
        Intersite bestanden.

        Ende --------------------------------------------------------------
Bitte warten ..
Mitglied: Dani
14.10.2013 um 19:04 Uhr
Moin,
es gibt dazu inzwischen einen KB-Eintrag bei Microsoft.


Grüße,
Dani
Bitte warten ..
Mitglied: frankh68
14.10.2013 um 19:49 Uhr
...Also, wenn ich die Zeit entgegensetze, die ich brauchen würde, um die Lösungsvorschläge in dem Attikel umzusetzen, dann habe ich den 2. DC 10 mal schneller gekillt und neu aufgesetzt. Zeit ist Geld . Die Maschine via DCPROMO herabzustufen, habe ich ansatzweise versucht: Die Ausführung ist jedoch nicht möglich, da der 1. DC keine Replikationsanforderungen entgegennimmt. Er hat sich also wieder gesperrt.

Wäre es statt dessen nicht möglich, den 2. DC per "Holzhammermethode" zu killen und mittels ADSIEDIT die paar verbliebenen Einträge nachträglich zu löschen und den 2. DC schön sauber neu zu installieren ( kann auch einenn anderen Hostnamen haben ) ?? Zur INfo: Es handelt sich jeweils um virtuelle Server. Snapshots wurden erstellt, der Fallback wäre jederzeit möglich.

VG
Frank
Bitte warten ..
Mitglied: Dani
15.10.2013, aktualisiert um 18:22 Uhr
Moin,
Weiß ich nicht... wir halten uns immer an die Microsoftvorgaben.

Zur INfo: Es handelt sich jeweils um virtuelle Server. Snapshots wurden erstellt, der Fallback wäre jederzeit möglich.
Aja, das ist natürlich prima. Les dich bitte mal zu Snapshots und DCs ein. Da wirst du ausschließlich negative Erfahrungen lesen. DCs immer als Systemstate-Sicherung erstellen!


Grüße,
Dani
Bitte warten ..
Mitglied: frankh68
18.10.2013 um 14:41 Uhr
Hallo Dani,

danke für den Tipp, das Problem ist tatsächlich bekannt, ab Win server 2012 soll dies angeblich nicht mehr auftreten.

Bevor ich das AD neu aufbaue ( mir graust es !! ) , nachfolgend ein paar Passagen aus dem DCDIAG -Output am PDC:

(Anmerkung: PDC ist der Schema Master, der DMC ist der sekundäre DC.)

1)
Default -First-site-Name\PDC
...Beim Versuch, den PDC zu erreichen, eurden vom DsGetDcName Infos für \\DMC\domain.local zurückgegeben. DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
........PDC hat den Test für Advertising nicht bestanden.

2)
Starting Test: DFSREvent
Für den Zeitraum der letzten 24 Std. seit Freigabe des Sysvol sind Warnungen od. Fehlerereignisse vorhanden. Fehler bei der Sysvol Replikation können Probleme mit der GPO zur Folge haben.
.....PDC hat den Test DFSREvent nicht bestanden.

3)
Starting Test Locator Check: Fehler beim aufrufen von DcGetDcName(Good_TimeServer_Prefered): 1355
es wurde kein geeigneter Zeitserver gefunden.


Was wäre denn empfehlenswert an dieser Stelle zu tun ?

VG
Frank
Bitte warten ..
Mitglied: Dani
18.10.2013 um 19:16 Uhr
danke für den Tipp, das Problem ist tatsächlich bekannt, ab Win server 2012 soll dies angeblich nicht mehr auftreten.
Jein, aber das ist ein anderes Thema.

Hast du den KB-Artikel soweit bearbeitet und konfiguriert?!


Grüße,
Dani
Bitte warten ..
Mitglied: frankh68
18.10.2013 um 19:33 Uhr
Hallo,

wie ich dem KB Artikel entnehmen kann, beziehen sich die Inhalte eher auf die fehlerhafte Replikation. Aus Zeitgründen würde ich gerne auf die Holzhammermethode setzen und den fehlerhaften 2. DC killen und anschliessend dessen Einträge manuell im DC1 bereinigen . netdom query fsmo verweist kpl. auf den 1. DC, dieser meckert lt. dcdiag eigentlich nur noch den fehlenden Zeitserver an. Nur ich bin bisher nicht fündig geworden, wie man dieses Problem beheben kann.

Viele Gruesse
Frank
Bitte warten ..
Mitglied: Dani
18.10.2013 um 19:36 Uhr
Moin Frank,
Aus Zeitgründen würde ich gerne auf die Holzhammermethode setzen und den fehlerhaften
Okay, da bin ich leider raus.


Grüße,
Dani
Bitte warten ..
Mitglied: frankh68
18.10.2013 um 19:54 Uhr
Hallo Dani,

das verstehe ich. Ich bin zufällig auf folgenden Artikel gestossen:

http://support.microsoft.com/kb/135646/de

Ich denke, das würde sich passend auf das Zeitserverproblem beziehen. Mich wundert nur, dass der Registry Eintrag "Zeitquelle" deutsch ist.

Viele Gruesse
Frank
Bitte warten ..
Mitglied: Dani
18.10.2013 um 19:59 Uhr
Du hast gesehen, für welche Betriebsysteme der Artikel gilt?
In meinen ersten Kommentar habe ich geschrieben, dass du die Uhrzeit und Zonen vergleichen solltest.
Normalerweiße syncronisiert jeder DC mit einer anderen Zeitquelle. Die Doku findest du hier.


Grüße,
Dani
Bitte warten ..
Mitglied: frankh68
18.10.2013 um 21:28 Uhr
sorry, das OS mit dem hatte ich übersehen. Habe nochmal in die Dienste des DC1 geschaut: Der Windows Zeitgeberdienst war down und konnte aufgrund des gestoppten Anmeldedienstes nicht gestartet weden. Testweise habe ich den Anmeldedienst gestartet und schon läuft der Windows Zeitgeberdienst wieder. Anschliessend nochmal Dcdiag ausgeführt und es wird nur noch hingewiesen, dass der DC1 momentan keine Replikationsanforderungen mehr entgegen nimmt. Sicherheitshalber lasse ich dies deaktiviert. Datum und Uhrzeit sind bei beiden DC's gleich, das Datum ebenso.

vg
Fra nk
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Windows Server
gelöst Windows 2008 R2 Backup Domaincontroller als Primary DC heraufstufen (2)

Frage von adrian138 zum Thema Windows Server ...

Microsoft Office
gelöst Verbindung zum Exchnage ohne anbindung am Domaincontroller (8)

Frage von it2016 zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...