Integration SBS2003 in W2K AD

[Zoni]

Hallo,

habe da ein dickes Problem mit der Integration von SBS 2003 in ein W2K AD.
Das Hinzufügen des grundinstallierten SBS 2003 (also ohne Exchange etc.) ist ja kein Problem,
der Neustart nach dem Ausführen von DCPROMO auch nicht.
Wenn der SBS sich dann aber mit dem W2K DC nach ca. 15 min. repliziert hat ists um den SBS geschehen. Solange man nicht neustartet gehts noch. Aber nach dem Neustart geht auf dem SBS nix mehr. Dann kommt schon beim Hochfahren die Fehlermeldung das ein Dienst nicht gestartet werden konnte. Dieser Dienst ist natürlich COM+ Ergo geht nu nix mehr.
Die Netzwerkverbindungen bleiben leer, ich kann RsOP nicht ausführen -> Zugriff verweigert, dcomcnfg -> Komponentendienste -> Computer -> Arbeitsplatz -> COM+-Anwendungen -> Zugriff verweigert. Logischerweise erreicht der SBS den DC nicht mehr, VSS wird wegen fehlendem COM+ nicht gestartet.
In der winlogon.log wird folgendes angezeigt :
[...]
Fehler 0 beim Senden des Steuerungsflags 1 zum Server.
[...]
SeNetworkLogonRight muss der Gruppe "Domänencontroller der Organisation" zugewiesen werden, um Richtlinienpropagierung bzw. -replikation durchführen zu können.
Fehler beim Zuweisen von SeSystemtimePrivilege zu der Administratorgruppe. Durch diese Einstellung können Administratoren sich eventuell nicht interaktiv anmelden.
[...]

Wenn ich die Gruppenrichtlinie vorher dem Hinzufügen des SBS auf dem W2K mit recreatedefpol.exe zurücksetze funktioniert zumindest der SBS auch noch nach dem Neustart. Nur das kann doch nicht Sinn und Zweck sein die Gruppenrichtlinie vorher leer zu machen.
Folgende Event IDs werden im Anwendungsprotokoll geloggt :

4609 :
Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während der internen Verarbeitung erkannt. HRESULT war 80004015 von Zeile 142 von d:\srvrtm\com\complus\src\events\tier2\service.cpp. Wenden Sie sich an den Microsoft-Produktsupport.

4609 :
Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\srvrtm\com\complus\src\events\tier1\eventsystemobj.cpp. Wenden Sie sich an den Microsoft-Produktsupport.
^^
Hierzu gibts auch einen KB-Artikel (909444), der aber bei meinem Problem nicht hilft.

Hat jemand schonmal dieses Problem gehabt bzw. vielleicht sogar eine Lösung dafür ?

Gruß
Jörg

[IThome]

Ein SBS MUSS zwingend der DC sein, der die FSMO-Rollen verwaltet. Schau mal hier ...
http://support.microsoft.com/default...b;en-us;884453

[Zoni]

Hallo,

ja das weiß ich. Den KB-Artikel hab ich ausgedruckt neben dem Server liegen Nur hab ich doch nach dem Hinzufügen des SBS zur Domäne sicher noch einen Moment Zeit bevor ich FSMO etc. übertrage, oder? Ich hab sicherlich kein Lust dass ich die Rollen übertrage und nach dem nächsten Neustart liegen meine Rollen auf einem Server auf dem ich nix mehr machen kann
Ist übrigens der SBS2003 Standard inkl. SP1 und allen Updates, hab es auch schon ohne Updates versucht. Auch den W2K DC hab ich nochmal testweise mit den neusten Updates versorgt hat aber auch nix geholfen.

Gruß
Jörg

[IThome]

Jo, 14 Tage Zeit hast Du. Hast Du auch ADPREP vorher ausgeführt ?

[Zoni]

Ja,
schon mal vielen Dank für die schnellen Antworten.
Ohne Adprep lässt der SBS sich gar nicht in das W2K AD aufnehmen,
dcpromo schmeißt dann einen Hinweis auf Adprep aus. Hab auch alle drei Adprep Befehle
adprep /forestprep
adprep /domainprep
adprep /domainprep /gpprep
durchlaufen lassen.
So habs gerade nochmal extra ausprobiert.
Wenn ich die Gruppenrichtlinie auf dem W2K DC vor dem Hinzufügen des SBS mit recreatedefpol.exe komplett zurücksetze funktionierts anstandslos nach dem Hinzufügen.
Auch die Replikation funktioniert ohne Probleme, wenn ich also auf dem SBS was in NETLOGON ablege ist beim Klicken auf den W2K schon da.
Werde das jetzt nochmal Testen wenn ich die Gruppenrichtlinien zurücksetze und dann aber noch mal was dort eintrage.
In den Gruppenrichtlinien ist nicht viel festgelegt. Z.B. darf der Administrator sich als Dienst anmelden (für Backup Exec) etc. Aber da ist jetzt eigentlich nix so wildes sonst drin....
Aber Danke schonmal soweit.

Gruß
Jörg

[IThome]

Wäre ja interessant zu wissen, was ihn da gestört hat oder vielleicht auch noch stören wird.

[Zoni]

Das würde ich ja auch zu gern rausfinden *grml*
Das Problem hat mich nun schon einige Stunden gekostet.
Was ich auch komisch finde ist das die Grundreplikation während dcpromo funktioniert, dann nach dem Neustart dauerts erst mal fünf-sechs Minuten, dann wird Event ID 13508 im Dateireplikationsdienst-Protokoll geloggt.

Der Dateireplikationsdienst konnte die Replikation von WIN2000SERVER nach SBSSERVER für c:\windows\sysvol\domain mit DNS-Namen win2000server.domain.de nicht aktivieren. Es wird ein neuer Versuch gestartet.

Ca. zwei Minuten später kommt dann Event ID 13509 :

Der Dateireplikationsdienst hat die Replikation von WIN2000SERVER nach SBSSERVER für c:\windows\sysvol\domain nach wiederholten Versuchen aktiviert.

Und wenn man danach neustartet geht der Ärger los.
Achso, Firewall-Dienst ist auf dem SBS auch deaktiviert und auf dem W2K ist keine installiert.
Gruß
Jörg

[Zoni]

Soo,
nun hatte ich die Gruppenrichtlinie zurückgesetzt und danach dem Administrator und dem Benutzer IWAM_WIN2000SERVER das Recht "Anmelden als Dienst" zugewiesen.
Nun wurde 13508 und danach 13509 geloggt. Interessanterweise funktioniert die Replikation aber (momentan) nur von W2K nach SBS. Umgedreht ist keine Replikation möglich, im NETLOGON Ordner wird nix übertragen und außerdem ist unter "NTDS Settings" unterhalb des W2K kein Eintrag mehr auf den SBS ????!!!!

EDIT: Fünf Minuten später funktioniert die Replikation plötzlich wieder....
und die "Automatisch generiert"e Verbindung zu dem SBS ist in den "NTDS Settings" wieder da.....

Gruß
Jörg

[IThome]

Verhält der sich auch so, wenn der SBS alle Rollen hat ?

[Zoni]

Gute Frage,
das hab ich noch nicht ausprobiert. Aber ich fahr gleich erstmal wieder heim zu meiner Testumgebung und werd es mal probieren.
Gestern hab ich zumindest festgestellt, dass das Recht "Anmelden als Dienst" nicht schuld ist. Habe die Gruppenrichtlinien zurückgesetzt und dann dieses Recht definiert und den SBS hinzugefügt. Fluppt ohne Probleme.
Allerdings tritt nun die Fehlermeldung auf dem W2K aus http://support.microsoft.com/kb/842933/en-us "Strings zu lang ..." auf.
Werde das nun Recht für Recht ausprobieren, da ich das Problem nicht nur lösen will sondern auch wissen will was das verursacht hat.
Gruß
Jörg