AD Replikationsprobleme nach Servertausch

[Zulca]

Hallo

Wir haben in unserer W2K3 Testumgebung folgendes Problem, für welches wir für hilfreiche Hinweise sehr dankbar sind:


Hier vorab das Umfeld und die Vorgeschichte zum besseren Verständnis:

Die Testumgebung besteht aus einem Forest mit einer Root- und zwei Memberdomänen. In jeder Domäne sind zwei DC aktiv, auf welchen die Betriebsmaster nach MS Empfelungen aufgeteilt sind.
Der Forest beinhaltet zwei Sites, wovon sich die Root-Domäne über beide Sites erstreckt und die Memberdomänen je in einer Site sind.
Das ganze lief ohne Probleme bis wir den einen DC einer Memberdomäne durch einen anderen ersetzen mussten. Dies machten wir durch das Hinzufügen eines dritten; der Uebertragung der Betriebsmaster des herauszulösenden auf den dritten und dem abschliessenden Hersauslösen desjenigen, welcher nun keine Betriebsmaster mehr hatte mittels DCPROMO. Nach einigen Tagen namen wir dann den "depromovierten" Server ganz aus der Domäne und löschten dessen Konto.


Soweit so gut - Nun aber zum Problem:
Nach dem DC Tausch stellten wir plötzlich fest, dass die Replkation zu der Memberdomäne in welcher wir den DC ausgewechselt hatten nicht mehr funktionierte. Im Evnetlog auf den DC dieser Domäne fanden wir auch ein Event welches besagte, dass die Tumbstonezeit von 60 Tagen abgelaufen sei, obschon dies eigentlich gar nicht sein konnte, da das Ganze in einem Zeitraum von zwei Tagen erfolgte.
Nach umfangreichen Tests (DNS und AD) im gesamten Forest und dem Neuaufbau des GC (was einwandfrei funktionierte) in der besagten Domäne haben wir heute folgende Erkenntnis:
Die Domäne kann sich von den anderen Domänen (Root und zweite Memberdomäne) replizieren dies funktioniert auch über AD-Standorte und Dienste jedoch nur aus der Domäne selber, wird dieselbe Replikation zum Beispiel aus der Root-Domäne angestossen erfolgt die Meludung "Zugriff verweigert". Dasselbe ist auch im Eventlog der Rootdomäne zu sehen. Dort erhalten wir in regelmässigen Abständen die Events 1085, 1566, 1311, 1865 und 1960. Die MS Hinweise zu diesen Events haben uns leider auch nicht weitergebracht.

Wir sind nun zur Ueberzeugung gelangt, dass in der "Problemdomäne" die SID's aus irgendwelchen Gründen neu generiert wurden und diese die Zugriffe aus den anderen Domänen verweigern - und damit "beisst sich die Katze in den Schwanz": Zugriffsverweigerung bei der Replikation von der Domäne nach aussen <> keine Möglichkeit eines "SID-Exports" zu den übrigen Domänen.


Ich hoffe, dass ich das Problem einigermassen verständlich schildern konnte und danke Euch schon im Voraus für Eure Unterstützung.

[Zulca]

Hallo

Wir haben in der Zwischenzeit herausgefunden, dass die SID's der betroffenen User und DC's auf allen Domänen i.O. sind.

Jedoch haben wir beim Servertausch den Trust zwischen den beiden Memberdomänen verloren. Wir haben diesen nun wieder erstellt und warten nun die Replikation ab.