9
Windows 2003 Domäne spinnt
Hallo Leute,
Ich habe gerade ein Netzwerk übernommen mit einer Windows 2003 Domäne. In der Domäne kommt es sporadisch vor das sich User nicht anmelden können. Sehr oft ist die Fehlermeldung das der Zielprinzipalserver nicht verfügbar ist.
Nach einigen Versuchen des Durchstartens am Client funktioniert es dann wieder. Das Problem ist vor 2 Wochen aufgetaucht und das Ereignislog am Server gibt nicht viel her.
Nachdem es praktisch jeden User hin und wieder betrifft, kann ich ein Client Problem ausschliessen. Auch die Pings von den Clients zum Server sehen stabil aus.
Hat jemand von euch eine Idee dazu?
nice greetz jojo
Ich habe gerade ein Netzwerk übernommen mit einer Windows 2003 Domäne. In der Domäne kommt es sporadisch vor das sich User nicht anmelden können. Sehr oft ist die Fehlermeldung das der Zielprinzipalserver nicht verfügbar ist.
Nach einigen Versuchen des Durchstartens am Client funktioniert es dann wieder. Das Problem ist vor 2 Wochen aufgetaucht und das Ereignislog am Server gibt nicht viel her.
Nachdem es praktisch jeden User hin und wieder betrifft, kann ich ein Client Problem ausschliessen. Auch die Pings von den Clients zum Server sehen stabil aus.
Hat jemand von euch eine Idee dazu?
nice greetz jojo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 187212
Url: https://administrator.de/contentid/187212
Printed on: April 26, 2024 at 14:04 o'clock
9 Comments
Latest comment
Hallo jojo,
meiner Erfahrung nach handelt es sich häufig um DNS Probleme bei Anmeldeschwirigkeiten. Vll. mal schauen ob der richtig läuft oder was bei den Clients hinterlegt ist.
Vielleicht auch mal prüfen ob der Server im Fehlerfall über einen lokal angemeldeten Platz erreichbar ist.
MfG corpse2001
meiner Erfahrung nach handelt es sich häufig um DNS Probleme bei Anmeldeschwirigkeiten. Vll. mal schauen ob der richtig läuft oder was bei den Clients hinterlegt ist.
Vielleicht auch mal prüfen ob der Server im Fehlerfall über einen lokal angemeldeten Platz erreichbar ist.
MfG corpse2001
Wie viele DCs gibt es denn im Netz?
Was wirft aus?
Was wirft
repadmin /showreps
Oder die Uhrzeit der Clients stimmt nicht mit der des Servers überein...
Also DNS bei den Clients war auch mein erster Gedanke. Das sieht aber gut aus.
repadmin /showreps bringt mir folgenden Fehler:
Active Directory kann mit diesem Server nicht replizieren da die seit der letzten Replikation abgelaufende Zeit die Tombstone Ablauftzeit überschritten hat.
Klingt nicht sehr gut ... Es gibt einen 2. Domaincontroller im Netzwerk. Wenn ich mich dort anmelde und einen User in eine Gruppe hinzufügen möchte bekomme ich den selben Fehler mit dem Zielprinzipalserver.
Fehler beim NTP konnte ich auch sehen...aber als erstes möchte ich mal die Replikation wieder hinbekommen.
nice greetz jojo
repadmin /showreps bringt mir folgenden Fehler:
Active Directory kann mit diesem Server nicht replizieren da die seit der letzten Replikation abgelaufende Zeit die Tombstone Ablauftzeit überschritten hat.
Klingt nicht sehr gut ... Es gibt einen 2. Domaincontroller im Netzwerk. Wenn ich mich dort anmelde und einen User in eine Gruppe hinzufügen möchte bekomme ich den selben Fehler mit dem Zielprinzipalserver.
Fehler beim NTP konnte ich auch sehen...aber als erstes möchte ich mal die Replikation wieder hinbekommen.
nice greetz jojo
So nach Absprache mit dem Vor Betreuer wurde der 2. DC zwar installiert für "absolute" Notfälle... aber dann die Dienste wieder deaktiviert, weil diese zuviele Ressourcen gezogen haben. Das ist offensichtlich schon seit 1 Jahr so... die Probleme gibt es aber erst seit 2 Wochen mit der Anmeldung der User.
Ob es das Problem verursacht ist mir eigentlich egal, aber dieser Zustand bringt mir doch sowieso mehr Ärger als es mir jemals helfen könnte oder?
Vorrangig versuche ich immer noch das Problem mit den Anmeldungen in den Griff zu bekommen. Die User müssen teilweise den Rechner bis zu 4 Mal durchstarten bis die Anmeldung klappt... ansonten wird immer der Fehler angezeigt, das der Client sich mit der Domäne nicht verbinden konnte. Der 2. Domain Controller, der eigentlich keiner mehr ist stehet bei keinem Rechner in der DNS Konfig, dh. das können wir ausschliessen.
Der NTP W32Time Fehler kommt offensichtlich auch schon länger, ist somit nicht der Auslöser.
nice greetz jojo
Ob es das Problem verursacht ist mir eigentlich egal, aber dieser Zustand bringt mir doch sowieso mehr Ärger als es mir jemals helfen könnte oder?
Vorrangig versuche ich immer noch das Problem mit den Anmeldungen in den Griff zu bekommen. Die User müssen teilweise den Rechner bis zu 4 Mal durchstarten bis die Anmeldung klappt... ansonten wird immer der Fehler angezeigt, das der Client sich mit der Domäne nicht verbinden konnte. Der 2. Domain Controller, der eigentlich keiner mehr ist stehet bei keinem Rechner in der DNS Konfig, dh. das können wir ausschliessen.
Der NTP W32Time Fehler kommt offensichtlich auch schon länger, ist somit nicht der Auslöser.
nice greetz jojo
Also zuerst solltest Du den Zeitdienst hinbekommen. Clients und DCs benötigen die gleiche Uhrzeit.
Dann fahr die Dienste auf dem zweiten DC hoch und schau ob Du die Replikation wieder hinbekommst. Aus Performancegründen ist in meinen Augen eine sehr fadenscheinige Ausrede, wahrscheinlich hat der einfach nie richtig funktioniert.
Dann fahr die Dienste auf dem zweiten DC hoch und schau ob Du die Replikation wieder hinbekommst. Aus Performancegründen ist in meinen Augen eine sehr fadenscheinige Ausrede, wahrscheinlich hat der einfach nie richtig funktioniert.
Morgen
Wenn der funktionierende DC jedoch der mit PDC-Emulator-Rolle ist, sollte automatisch die Zeit dieses DC an alle Clients verteilt werden.
Außer, es wurde was am Zeitrdienst in unsahcgemäßer Weise verstellt.
Wie soll er denn einen Dc, der seit so langer Zeit nicht mehr lief, zur Replikation mit einem aktuellen DC bewegen?
Die Fehlermeldung mit der Tombstoneablaufzeit sagt doch eigentlich alles.
Das muss man dann nur noch googlen und schon stößt man bspw. auf Yusufs Super-Blog:
http://blog.dikmenoglu.de/PermaLink,guid,f6157d8b-2424-4279-bb59-b55273 ...
Richtige Vorgehensweise sollte folgende sein:
Die Funktionalität der Domäne mit DCDIAG überprüfen und die Fehler beheben.
Hier ist eine Anleitung von Yusuf Dikmenoglu auf faq-o-matic.net
Den 2. DC ausschalten und aus dem Ad entfernen.
Neuen Server zum DC promoten und dann mit dem anderen (der ja wieder sauber funktioniert) replizieren.
Zitat von @Onitnarat:
Also zuerst solltest Du den Zeitdienst hinbekommen. Clients und DCs benötigen die gleiche Uhrzeit.
Korrekt.Also zuerst solltest Du den Zeitdienst hinbekommen. Clients und DCs benötigen die gleiche Uhrzeit.
Wenn der funktionierende DC jedoch der mit PDC-Emulator-Rolle ist, sollte automatisch die Zeit dieses DC an alle Clients verteilt werden.
Außer, es wurde was am Zeitrdienst in unsahcgemäßer Weise verstellt.
Dann fahr die Dienste auf dem zweiten DC hoch und schau ob Du die Replikation wieder hinbekommst.
Das ist kompletter Unsinn!Wie soll er denn einen Dc, der seit so langer Zeit nicht mehr lief, zur Replikation mit einem aktuellen DC bewegen?
Die Fehlermeldung mit der Tombstoneablaufzeit sagt doch eigentlich alles.
Das muss man dann nur noch googlen und schon stößt man bspw. auf Yusufs Super-Blog:
http://blog.dikmenoglu.de/PermaLink,guid,f6157d8b-2424-4279-bb59-b55273 ...
Richtige Vorgehensweise sollte folgende sein:
Die Funktionalität der Domäne mit DCDIAG überprüfen und die Fehler beheben.
Hier ist eine Anleitung von Yusuf Dikmenoglu auf faq-o-matic.net
Den 2. DC ausschalten und aus dem Ad entfernen.
Neuen Server zum DC promoten und dann mit dem anderen (der ja wieder sauber funktioniert) replizieren.
Ok, das klingt nach einem Plan.
Also der Fehler mit der Zeit ist gelöst.
DCDIAG habe ich laufen lassen. Keine Fehler ausser das bekannte Replikationsproblem.
Nachdem jeder Googletreffer mit dem Zielprinzipal Fehler etwas mit Replikation zu tun hat könnte das doch durchaus die Lösung sein.
Leider ist der 2. Backup Controller auch gleichzeitig ein Lotus Notes Server, dh. den herunterzustufen ohne das der Applikation etwas passiert ist mir zu gefährlich.
Ich denke es wird mir nichts anderes übrig bleiben als alles Neu zu machen und die User zu übersiedeln.
Danke für eure Hilfe.
nice greetz jojo
Also der Fehler mit der Zeit ist gelöst.
DCDIAG habe ich laufen lassen. Keine Fehler ausser das bekannte Replikationsproblem.
Nachdem jeder Googletreffer mit dem Zielprinzipal Fehler etwas mit Replikation zu tun hat könnte das doch durchaus die Lösung sein.
Leider ist der 2. Backup Controller auch gleichzeitig ein Lotus Notes Server, dh. den herunterzustufen ohne das der Applikation etwas passiert ist mir zu gefährlich.
Ich denke es wird mir nichts anderes übrig bleiben als alles Neu zu machen und die User zu übersiedeln.
Danke für eure Hilfe.
nice greetz jojo
Hallo Leute,
Also mittlerweile habe ich das Problem lösen können:
Folgende Schritte habe ich durchgeführt.
Der 2. Domaincontroller der das Problem war habe ich mit DCPROMO /FORCEREMOVAL aus der Domaine entfernt. (Nebenbei war das noch ein Lotus Domino Server gottseidank hat der das überlebt)
Danach habe ich ein Metadata Cleanup auf dem funktionrenden DC durchgeführt wie hier beschrieben ist:
http://support.microsoft.com/kb/216498
Nebenbei das erstemal das ich einen Technet Artikel gefolgt bin und keine nicht beschriebenen Problem aufgetreten sind.
Jetzt war die Domäne wieder sauber und die User konnten wieder normal arbeiten. Danach habe ich den Lotus Server auch wieder als Domain Member aufgenommen.
Wie gesagt hat alles ohne irgendwelche Komplikationen funktioniert und war definitiv schneller als alles wieder neu zu machen.
nice greetz jojo
Also mittlerweile habe ich das Problem lösen können:
Folgende Schritte habe ich durchgeführt.
Der 2. Domaincontroller der das Problem war habe ich mit DCPROMO /FORCEREMOVAL aus der Domaine entfernt. (Nebenbei war das noch ein Lotus Domino Server gottseidank hat der das überlebt)
Danach habe ich ein Metadata Cleanup auf dem funktionrenden DC durchgeführt wie hier beschrieben ist:
http://support.microsoft.com/kb/216498
Nebenbei das erstemal das ich einen Technet Artikel gefolgt bin und keine nicht beschriebenen Problem aufgetreten sind.
Jetzt war die Domäne wieder sauber und die User konnten wieder normal arbeiten. Danach habe ich den Lotus Server auch wieder als Domain Member aufgenommen.
Wie gesagt hat alles ohne irgendwelche Komplikationen funktioniert und war definitiv schneller als alles wieder neu zu machen.
nice greetz jojo