W2K Domaincontroller - Keine Replizierung mehr - Kein Drucken mehr

[Steinbock63]

Hallo an alle,

ich habe heute schon stundenlang in euren Beiträgen, anderen Foren und Microsoft Artikeln gelesen, habe zig verschiedene Tests durchgeführt und Einstellungen ausprobiert - jetzt bin ich mit meinem Latein am Ende und mir ist zum Heulen. :-(

Also von vorne:
Ich bin als eigentliche Programmiererin seit dem letzten Juli mit der Administration des Win2000 Netzwerks einer Klinik ins kalte Wasser geworfen worden. Da das ganze in einer Art Mischjob läuft, hatte ich bisher leider nicht die Zeit, mich in die Materie Active Directory und die gesamte bestehende Architektur richtig einzuarbeiten. Bis gestern konnte ich mir bei auftauchenden Problemen auch immer helfen...

Konfiguration des Netzwerks:
1 Domain
1 Standort
1 AS400 mit 2 Betriebssystemen:
- IBM OS (für die Kliniksoftware)
- W2K Server mit Active Directory, DNS Server, WINS (DC 1, Betriebsmaster)
1 W2K Server mit Active Directory, DNS Server, WINS (DC 2)
Kein DHCP-Server - feste IP-Adressen - ca. 30 Clients.
Kein Fileserver, kein Printserver (freigegebene Drucker an den Clients).
Die beiden Server laufen im Kompatibilitätsmodus für NT4.

Das Problem:
Seit gestern funktionierte plötzlich das Drucken übers Netzwerk nicht mehr. Der Druckauftrag kommt zwar bei dem jeweiligen Client an, aber dann öffnet sich das Fenster des Druckermanagers und meldet, dass der Druckauftrag aufgrund eines Netzwerkproblems nicht ausgeführt werden konnte.

Nachdem ich in den Logfiles zuerst keinen Hinweis finden konnte, habe ich als erste Maßnahme mal beide Server neu gestartet (hilft ja oft wenn auch keiner weiß warum).
Nix - immer noch dasselbe.
Also die Logfiles genauer vorgenommen und festgestellt, dass bereits vor meinem Stellenantritt in dieser Klinik regelmäßig Fehlermeldungen im Hinblick auf Replikationsprobleme erschienen.
Das nächste war, dass ich vom DC2 aus über die Active Directory Snapins keinen Zugriff mehr auf den DC1 hatte. Es erschien immer die Meldung "Der Ziel-Principal Name ist falsch".
Zuerst dachte ich an ein DNS Problem, aber wo? Alles testen und durchforsten hat bisher nichts gebracht! Dafür teilte mir "dcdiag" heute mit, dass die letzte erfolgreiche Replikation bereits am 17.02.2005 gelaufen war (!).
Auch das in diesem Artikel erwähnte Symptom trat auf, dass ich den DC1 per "net view" nur noch mit seiner IP, nicht aber seinem Hostnamen ansprechen konnte.
Gestern konnte ich die Drucker vorübergehend dadurch zum Laufen bringen, dass ich am CD1 den Kerberos Dienst abgeschaltet habe. Heute hat auch das nicht mehr funktioniert. An den Vorschlag aus dem obigen Artikel mit "netdom" habe ich mich noch nicht drangetraut. Ich möchte lieber noch ein paar Meinungen hören (lesen).

Leider kann ich momentan keine der Replikationsfehlermeldungen posten, da ich jetzt von zuhause aus schreibe.

Hat irgendjemand eine Idee, in welche Richtung ich weitersuchen sollte? Eher in Richtung DNS oder in Richtung Authentifizierung? Ich werde noch verrückt mit diesem M... !

Viele Grüße
Steinbock63

[phoenixcp]

Ok, fangen wir ganz langsam an der Wurzel des Übels an. Wenn deine DC's nicht mehr replizieren, dann schreiben sie die fehlgeschlagenen Repliaktionsversuche ins Eventlog. Die dort aufgelaufenen Fehlermeldungen enthalten eine Event-ID. Mit dieser kannst du dich mal bei www.eventid.net umschauen. Das ist für sowas immer der erste Anlaufpunkt. Als zweites die Meldungen hier posten, falls die bei eventid.net vorgeschlagenen Lösungen nicht funktionieren.

Die Repliaktion kannst du versuchen zu erzwingen. Und zwar über das Snap-In "Active Directory Sites and Services". Dort in deinem Standort den jeweiligen Server auswählen und bis in die NTDS-Settings runterhangeln. Dort siehst du dann die Replikationsverbindungen zu dem / den andren Servern. Mit einem Rechtsklick darauf siehst du die Option "Replicate Now".

Sollte es keine Replikationsverbindung mehr zwischen den Servern geben, dann musst du diese neu einrichten. Standortintern kann man RPC nutzen, muss es aber nicht.

Sollte es bei dem VErsuch zu replizieren zu Fehlermeldungen kommen, dann entweder wieder hier melden und weiter nachfragen oder wieder der Weg über Google.

Keine Panik, immer mit der Ruhe, irgendwie bekommen wir das auch wieder in den Griff

Gruß
Carsten

[Workaholic4u]

Welche Service Pack Version ist auf den Servern installiert?

In dem genannten Artikel steht ganz unten folgendes:

Microsoft Windows 2000 Server SP1 Microsoft Windows 2000 Advanced Server SP1

Ich denke mal Wenn ihr die Server auf Service Pack 4 habt, habt ihr ein anderes Problem, bzw. braucht einen anderen Lösungsansatz.

[phoenixcp]

Ahja, das war ein guter Beitrag. Verrat uns doch mal welchen Servicepackstand deine Maschinen haben. Das hilft durchaus auch bei der Eingrenzung von Problemen.

[Velius]

Was man so alles findet wenn man bei MS einfach wrong spn domain controller als Suchbegriffe verwendet.....

KB837513: Domain controller is not functioning correctly

Die deutsche Version ist hier zu finden: http://support.microsoft.com/default...d=kb;de;837513


Gruss
Velius

[Steinbock63]

@ phoenixcp,
erstmal vielen Dank für Deine Antwort!
Wäre ja alles nicht so schlimm, wenn mein Chef - der nun wirklich nicht die blasseste Ahnung von Computerdingen hat - mir nicht ständig mit "muss laufen - heute noch" und ähnlichem im Nacken sitzen würde. ;-)

Ok, jetzt zur Sache:

Beim Versuch, im Snap-In 'Standorte und Dienste' mit Rechtsklick auf den DC1 die Replikation zu erzwingen erscheint die Meldung "Der RPC-Server ist für diesen Vorgang zu stark ausgelastet". Das gleicher Ergebnis hatte ich gestern schon bei diesem Versuch über die Konsole mit "syncall /force" erhalten.

Dieser soeben durchgeführte Versuch wurde nicht im Eventlog festgehalten, also leider keine Event-Id vorhanden. Die letzten Meldungen im Replikationsprotokoll stammen von heute Nacht (auf der AS400 läuft nachts immer die Datensicherung, danach werden alle Dienste neu gestartet). Es sind folgende Fehler geloggt:

[13552]
Der Dateireplikationsdienst kann diesen Computer dem folgenden Replikatsatz nicht hinzufügen: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

[13555]
Der Dateireplikationsdienst befindet sich im Fehlerzustand. Dateien werden nicht von oder zu einem oder allen Replikatsätzen auf diesem Computer repliziert, bevor nicht die folgenden Wiederherstellungsmaßnahmen durchgeführt wurden: ......

Und hier das Log des Directory Service zur gleichen Uhrzeit:

[1308]
Die Konsistenzprüfung des Verzeichnisdienstes hat ermittelt, dass 4955 aufeinander folgende Replizierungs- Versuche mit CN=NTDS Settings,CN=WIN2000-SERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=naturana,DC=de in einen Zeitraum von 80744 Minuten fehlgeschlagen sind. Das Verbindungsobjekt für diesen Server wird beibehalten und neue temporäre Verbindungen hergestellt, um Replizierung aufrecht- zu erhalten. Der Verzeichnisdienst wird die Replizierung mit CN=NTDS Settings,CN=WIN2000-SERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=naturana,DC=de erneut versuchen. Sobald dies erfolgreich ist, wird die temporäre Verbindung gelöscht.

[1404]
Der lokale Verzeichnisdienst hat die Verantwortung für das Generieren und die Aufrechterhaltung der domänenübergreifenden Replikationstopologie dieses Standorts übernommen.

Das Systemprotokoll zeigt außerdem in schöner Regelmäßigkeit immer 5-mal die Meldung

[8006]
"Der Browser erhielt ein nicht zugelassenes Datagramm vom Remotecomputer "NATURANANET" zum Namen "NATURANA" auf dem Transport "NetBT_Tcpip_{45C2F15". Daten: Datagramm."

und dann 1-mal

[8016]
Der Suchdiensttreiber erhielt zu viele nicht erlaubte Datagramme vom Remotecomputer "NATURANANET" zum Namen "NATURANA" auf Transport "NetBT_Tcpip_{45C2F15". Das Datagramm steht in den Daten. Es werden keine weiteren Ereignisse erzeugt, solange die Rücksetzfrequenz nicht abgelaufen ist.

Mir war zwar von Anfang an bekannt, dass die Konfiguration auf unserer AS400 etwas schwierig ist, aber ich kann mir nicht erklären, wieso unser Netz monatelang läuft und jetzt ohne erkennbaren Grund Fehler auftauchen.

Seit neuestem tauchen jetzt auch NetBT-Probleme auf. (Die AS400 besitzt 2 Netzwerkkarten mit unterschiedlichen IPs.) Die übliche Meldung, dass der Name bereits in der Domain existiert, taucht schon immer beim Anmelden am DC1 auf (ohne den Betrieb zu beinträchtigen). Wenn ich jetzt aber sämtlichen Verkehr über den DC1 zwinge, indem ich DC2 abschalte, können sich die Netzwerkadapter der Clients nicht dort registrieren, da angeblich kein DDNS läuft. ES LÄUFT ABER! *schnief*


@ workaholic4u

Wir haben SP4 auf beiden Maschinen.


@ velius

Danke, lese ich mir gleich mal durch.

Ich habe mir jetzt mal Dameware besorgt - vielleicht stoße ich damit auf die Ursache...
Für alle weiteren Tipps/Ideen hast bin ich sehr dankbar.

Grüße
Susanne

[Velius]

hui ist das viel Text.....


Also bin da nur Überflieger mäsig darüber, aber zwei Sachen sind mir Aufgefallen:

1. Was hat es mit dem AS400 auf sich, bzw. wo ist die Verbindung zum AD
2. Welcher Rechner hat zwei NIC's? Etwa einer der DC's?

Gruss
Velius

[phoenixcp]

Für den Fehler 13552
http://www.eventid.net/display.asp?e...=NtFrs&phase=1

Für die 1308
http://www.eventid.net/display.asp?e...%20KCC&phase=1

Dabei wird ebenfalls die Kontrolle der DNS empfohlen.
Kannst du denn sicherstellen, das deine DNS sauber funktioniert?
Deine Repliaktion ist ja ziemlich lange nicht mehr gelaufen. Bist du dir denn sicher, das deine beiden DC's wirklich noch DC's sind? Mir scheint es, das einer der beiden vielleicht sogar seine Rolle vergessen hat. Bzw. er wurde unter Umständen nach einem Crash mit dem selben Namen neu installiert und in die ADS promoted. Kannst du das ausschliessen oder besteht die Wahrscheinlichkeit?

[Steinbock63]

@ velius

Das habe ich auch noch nicht so ganz kapiert, ich vermute aber, dass der Schlüssel WINS heißt. Eine direkte Verbindung zum AD konnte ich auch noch nicht finden, die Kliniksoftware hat eigene Benutzerkonten, verwendet allerdings für die Zugriffssteuerung von Benutzern auf freigegebene Windows-Laufwerke die Windows-Anmeldedaten der Benutzer. Ich glaube, ich muss mir vom Hersteller dieser Software endlich mal die Zusammenhänge erklären lassen... (Habe ich bisher nur nicht gemacht, weil die Klinik keine Kurse bezahlt und auch nicht bereit ist, mich dafür freizustellen. D. h., das Ganze ist mein Freizeitvergnügen)

Die beiden NICs befinden sich in der AS400, über einen läuft der lokale IBM Traffic, der andere ist für den Windows DC.

So, ich habe eben mir eben mal das Zusammenspiel auf der AS400 erklären lassen:

Die AS400 besitzt nur 1 NIC, der allerdings mit jedem OS über eine andere IP kommuniziert:
Windows IP ist 192.168.31.2
Schnittstelle zu IBM Isiris ist 192.168.1.2
Diese Schnittstelle routet Benutzeranmeldungen weiter zu dem Dateifreigabeemulator auf 192.168.31.1, der die Windows Benutzerdaten mit den Benutzerdaten im IBM System abgleicht.

Gruß Susanne

[Steinbock63]

@ phoenixcp

Also eine Neuinstallation ist ausgeschlossen, die hätte ja innerhalb der letzten Monate stattfinden müssen und ich betreue das Netz seit dem 01.07.2004.

So ganz unrecht könntest Du allerdings mit dem "vergessen" nicht haben. Ich möchte nur gerne erst ausschließen, dass der Fehler im DC1 liegt, bevor ich DC2 neu aufsetze.
Genau diese Befürchtung habe ich nämlich...

Gruß Susanne