dritter Domaincontroller mag nicht replizieren

[morpheus4711 10]

Hallo zusammen,

 

bin a bissi ratlos. hab zwei DOmaincontroller (w2003 und w2003R2), jeweils einer pro Standort. Nun kam ein neuer hinzu, ein 2008 R2. Diesen hab die AD Rolle und DNS gegeben und DFS eingerichtet. Nun merk ich wie dei Daten nicht am zweiten Standort ankommen und wunder mich natürlich. lief ja alles sauber bei der Inst.

scheinbar nicht sauber genug.

 

Habt Ihr ne Idee wo ich ansetzen muss? Bitte, bin echt ratlos

 

grüße

Der Morph

 

dcdiag am FS (der neue 2008) bringt folgendes:

 

 

 

Verzeichnisserverdiagnose

 

Anfangssetup wird ausgefhrt:

Der Homeserver wird gesucht...

Homeserver = FS

* Identifizierte AD-Gesamtstruktur.

Sammeln der Ausgangsinformationen abgeschlossen.

 

Erforderliche Anfangstests werden ausgefhrt.

 

Server wird getestet: Regensburg\FS

Starting test: Connectivity

......................... FS hat den Test Connectivity bestanden.

 

Prim„rtests werden ausgefhrt.

 

Server wird getestet: Regensburg\FS

Starting test: Advertising

Achtung: Bei dem Versuch, FS zu erreichen, wurden von DsGetDcName

Informationen fr \\dc-1-rgb.meinedom.local zurckgegeben.

DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.

......................... FS hat den Test Advertising nicht bestanden.

Starting test: FrsEvent

......................... FS hat den Test FrsEvent bestanden.

Starting test: DFSREvent

......................... FS hat den Test DFSREvent bestanden.

Starting test: SysVolCheck

......................... FS hat den Test SysVolCheck bestanden.

Starting test: KccEvent

Warnung. Ereignis-ID: 0x80000459

Erstellungszeitpunkt: 07/13/2010 16:45:29

Ereigniszeichenfolge:

Die eingehende Replikation ist von einem Benutzer deaktiviert worden.

Warnung. Ereignis-ID: 0x8000045B

Erstellungszeitpunkt: 07/13/2010 16:45:29

Ereigniszeichenfolge:

Die ausgehende Replikation ist von einem Benutzer deaktiviert worden.

Warnung. Ereignis-ID: 0x80000B46

Erstellungszeitpunkt: 07/13/2010 16:45:40

Ereigniszeichenfolge:

Sie k”nnen die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integrit„tsberprfung) und einfache LDAP-Bindungen ber eine Klartextverbindung (ohne SSL-/TLS-Verschlsselung) zurckgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erh”ht sich die Sicherheit des Servers durch diese Konfiguration betr„chtlich.

Fehler. Ereignis-ID: 0xC0000837

Erstellungszeitpunkt: 07/13/2010 16:46:10

Ereigniszeichenfolge:

Die Active Directory-Dom„nendienste-Datenbank wurde mithilfe eines nicht untersttzten Wiederherstellungsvorgangs wiederhergestellt.

[morpheus4711 10]

da gehts weiter:

 

Warnung. Ereignis-ID: 0x8000051C

Erstellungszeitpunkt: 07/13/2010 16:50:41

Ereigniszeichenfolge:

Die Konsistenzberprfung (KCC) hat ermittelt, dass bei den fortlaufenden Versuchen, eine Replikationsverbindung mit dem folgenden Verzeichnisdienst herzustellen, immer wieder Fehler aufgetreten sind.

Warnung. Ereignis-ID: 0x80000785

Erstellungszeitpunkt: 07/13/2010 16:50:41

Ereigniszeichenfolge:

Fehler beim Herstellen einer Replikationsverknpfung mit der folgenden schreibbaren Verzeichnispartition.

Warnung. Ereignis-ID: 0x80000785

Erstellungszeitpunkt: 07/13/2010 16:50:41

Ereigniszeichenfolge:

Fehler beim Herstellen einer Replikationsverknpfung mit der folgenden schreibbaren Verzeichnispartition.

Warnung. Ereignis-ID: 0x80000785

Erstellungszeitpunkt: 07/13/2010 16:50:41

Ereigniszeichenfolge:

Fehler beim Herstellen einer Replikationsverknpfung mit der folgenden schreibbaren Verzeichnispartition.

Warnung. Ereignis-ID: 0x80000785

Erstellungszeitpunkt: 07/13/2010 16:50:41

Ereigniszeichenfolge:

Fehler beim Herstellen einer Replikationsverknpfung mit der folgenden schreibbaren Verzeichnispartition.

Warnung. Ereignis-ID: 0x80000785

Erstellungszeitpunkt: 07/13/2010 16:50:41

Ereigniszeichenfolge:

Fehler beim Herstellen einer Replikationsverknpfung mit der folgenden schreibbaren Verzeichnispartition.

......................... FS hat den Test KccEvent nicht bestanden.

Starting test: KnowsOfRoleHolders

......................... FS hat den Test KnowsOfRoleHolders

bestanden.

Starting test: MachineAccount

......................... FS hat den Test MachineAccount bestanden.

Starting test: NCSecDesc

Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

Replicating Directory Changes In Filtered Set

Zugriffsrechte fr den Namenskontext:

DC=ForestDnsZones,DC=meinedom,DC=local

Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

Replicating Directory Changes In Filtered Set

Zugriffsrechte fr den Namenskontext:

DC=DomainDnsZones,DC=meinedom,DC=local

......................... FS hat den Test NCSecDesc nicht bestanden.

Starting test: NetLogons

......................... FS hat den Test NetLogons bestanden.

Starting test: ObjectsReplicated

......................... FS hat den Test ObjectsReplicated bestanden.

Starting test: Replications

[Replikationsberprfung, Replications Check] Die eingehende

Replikation ist deaktiviert.

 

Fhren Sie zum Beheben dieses Zustands den Befehl "repadmin /options

FS -DISABLE_INBOUND_REPL" aus.

[Replikationsberprfung, FS] Die ausgehende Replikation ist

deaktiviert.

Fhren Sie zum Beheben dieses Zustands den Befehl "repadmin /options

FS -DISABLE_OUTBOUND_REPL" aus.

......................... FS hat den Test Replications nicht

bestanden.

Starting test: RidManager

......................... FS hat den Test RidManager bestanden.

Starting test: Services

Der Dienst w32time auf [FS] wurde beendet.

[morpheus4711 10]

und der Rest

 

 

Der Dienst NETLOGON auf [FS] wurde angehalten.

......................... FS hat den Test Services nicht bestanden.

Starting test: SystemLog

Warnung. Ereignis-ID: 0x8000001D

Erstellungszeitpunkt: 07/13/2010 16:45:34

Ereigniszeichenfolge:

Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat.

Fehler. Ereignis-ID: 0x0000002E

Erstellungszeitpunkt: 07/13/2010 16:46:11

Ereigniszeichenfolge:

Der Zeitdienst wurde heruntergefahren, da ein Fehler aufgetreten ist. Fehler: 0x80070700: Es wurde versucht, sich anzumelden, aber der Netzwerkanmeldedienst war nicht gestartet.

Fehler. Ereignis-ID: 0xC0001B6F

Erstellungszeitpunkt: 07/13/2010 16:46:11

Ereigniszeichenfolge:

Der Dienst "Windows-Zeitgeber" wurde mit folgendem Fehler beendet:

......................... FS hat den Test SystemLog nicht bestanden.

Starting test: VerifyReferences

......................... FS hat den Test VerifyReferences bestanden.

 

 

 

Partitionstests werden ausgefhrt auf: ForestDnsZones

Starting test: CheckSDRefDom

......................... ForestDnsZones hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... ForestDnsZones hat den Test

CrossRefValidation bestanden.

 

Partitionstests werden ausgefhrt auf: DomainDnsZones

Starting test: CheckSDRefDom

......................... DomainDnsZones hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... DomainDnsZones hat den Test

CrossRefValidation bestanden.

 

Partitionstests werden ausgefhrt auf: Schema

Starting test: CheckSDRefDom

......................... Schema hat den Test CheckSDRefDom bestanden.

Starting test: CrossRefValidation

......................... Schema hat den Test CrossRefValidation

bestanden.

 

Partitionstests werden ausgefhrt auf: Configuration

Starting test: CheckSDRefDom

......................... Configuration hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... Configuration hat den Test

CrossRefValidation bestanden.

 

Partitionstests werden ausgefhrt auf: meinedom

Starting test: CheckSDRefDom

......................... meinedom hat den Test CheckSDRefDom

bestanden.

Starting test: CrossRefValidation

......................... meinedom hat den Test

CrossRefValidation bestanden.

 

Unternehmenstests werden ausgefhrt auf: meinedom.local

Starting test: LocatorCheck

......................... meinedom.local hat den Test

LocatorCheck bestanden.

Starting test: Intersite

......................... meinedom.local hat den Test Intersite

bestanden.

[tom701 10]

Hallo, hast Du überhaupt schon die Replikation des Servers eingestellt?

Einmal einen Blick in Standorte und Dienste werfen und schauen ob der Server überhaupt in irgendeiner Art und Weise einen Replikationspartner hat. Wenn es der zweite DC am Standort ist sollte dir Replikation via RPC mit dem vorhanden DC funktionieren.

Normalerweise wird dies beim Einrichten aber erledigt. Bitte prüfen und ggf. manuel einpflegen. Dann sollte es auch funktionieren. Deine Logs melden auch viel über Replikationspartner/probleme

Gruß Tom

[tom701 10]

Evtl. auch mal den Server neu starten - einige Dienste laufen wohl auch nicht oder nicht sauber!

[morpheus4711 10]

Hallo Tom,

 

Server hab ich beide neu gestartet aber der Fehler bleibt. In Standorte und Dienste sind alle Server korrekt eingetragen, auch der FS steht sauber drin.Ein Rechtsklick auf den Server bringt folgenden Fehler:

 

Beim Versuch den Namenskontext "meineDom.local" von Domänencontroller DC-1-RGB noch Domänencontroller FS zu synchronisieren ist folgender Fehler aufgetreten: Der Zielserver nimmt zurzeit keine Replikationsanforderungen entgegen.

Dieser Vorgang wird nicht fortgesetzt.

 

die Domänencontroller (die bestehenden) replizieren ohne Probleme miteinander,

 

würde es was bringen den FS als DC herabzustufen und dann neu hochzustufen?

das würde doch am DFS nichts ändern/stören, oder?

 

grüße

Morpheus

 

EDIT: auch ein dcpromo zum entfernen bringt nix, ich bekomme die Meldung das der DCkeine Replikationsanfragen entgegennimmt... was soll das?

bearbeitet 13. Juli 2010 von morpheus4711

[morpheus4711 10]

Guten Morgen,

 

ich hab ebenfalls die Zeitzonen verglichen und hab festgestellt, dass zwar die Zeit gleich war aber die Zone nicht. Hab das angepasst, aber leider half auch das nichts.

Irgendwas sagt mir, dass es mit dem DNS zusammenhängen muss. Ich hab im DNS jede Menge Logeinträge wie:

 

Beim Laden der Zone TrustAnchors aus Active Directory wurde vom DNS-Server der Fehler 32 festgestellt. Im Zuge des nächsten Zeitüberschreitungszyklus wird der Ladevorgang der Zone wiederholt. Die Ursache hierfür ist möglicherweise eine hohe (und vorübergehende) Active Directory-Auslastung.

 

oder

 

Der DNS-Server konnte die Zone TrustAnchors im Verzeichnis nicht öffnen. Dieser DNS-Server ist für das Abrufen und Verwenden von Informationen aus dem Verzeichnis für diese Zone konfiguriert und kann die Zone ohne die Informationen nicht laden. Die Ereignisdaten enthalten den Fehlercode.

 

und

 

Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde.

 

 

was bedeutet das alles?

[Webbrauser 10]

grüß dich! Ich hatte das Problem ebenfalls mal - da war da ein Problem beim dynamischen DNS-Update.

Ich habe das Problem gelöst indem ich den DNS-Eintrag von dem dritten DC gelöscht habe - anschließend ein registerdns auf dem neuen DC ausgeführt habe und danach mit

 

repadmin /syncall /force

 

eine manuelle replikation angetriggert habe..

anschließend war alles tutti

 

http://support.microsoft.com/default.aspx?scid=kb;de;229896

[morpheus4711 10]

Grüß Dich Webbrowser,

 

danke für Deine Antwort, leider sah ich die zu spät, aber ich hab einen anderen Lösungsweg eingeschlagen, der dem Deinen sehr ähnlich ist.

 

1. IPV6 azs, falls an

2. Firewall an DC muss an sein

3. Auf allen DC den primären DNS auf den PDC legen

4. Den Anmeldedienst an allen DC neu starten (schadet nicht!)

5. auf allen DC mit DNS ein ipconfig /registerDNS

 

# Mit dem Befehl ipconfig /registerdns können Sie die dynamische Registrierung der im Computer konfigurierten DNS-Namen und IP-Adressen manuell initiieren. Diese Option kann Sie bei der Problembehandlung einer fehlgeschlagenen DNS-Namensauflösung oder beim Lösen eines Problems mit dynamischen Updates zwischen einem Client und dem DNS-Server unterstützen, ohne dass dabei der Client neu gestartet werden muss.

# In der Standardeinstellung aktualisiert der Befehl ipconfig /registerdns alle Leases von DHCP-Adressen und registriert alle entsprechenden DNS-Namen, die im Clientcomputer konfiguriert sind und von ihm verwendet werden.

 

6. auf dem primären DNS den Cache lösche, damit er "jungfräulich" wird

7. und ein ipconfig /flushdns damit der "Müll" raus ist

8. auf dem DC, der auch primärer DNS ist, repadmin ausführen

• repadmin /syncall /A /e
  
• repadmin /syncall /A /e /P
  
• repadmin /replsum
  

 

Alle drei befehle liefen fehlerfrei durch und nach ca 15 Minuten stands auch in den Logs.

Nur der Anmeldedienst am neuen DC stoppte ständig. Hab dann mit dcpromo den Server herabgestuft und dann neu heraufgestuft.

 

danach war alles in Butter

 

 

Grüße