TStraub

Wir haben jetzt inzwischen 2006.

 

Angeblich bin ich zu dämlich, Windows 2003-Systeme mit Active Directory einzurichten und zu administrieren, glauben einige Firmen.

 

Ich habe den MCSA und MCSE für 2000, und bereits mit Windows 2003 und Exchange 2003 gearbeitet.

 

Jetzt wurde mir nahegelegt, nach einem Vorstellungsgespräch, dass ich die 2003-Titel nachmache.

 

Bei Microsoft gibt es keine eindeutigen Infos, dass die Upgrade-Prüfungen abgeschafft sind, oder weiss da einer von Euch was Genaueres?

 

Danke und Grüße...

 

Thilo

Mahlzeit...

 

Bin immer noch an den Arbeiten zum ordnungsgemäßen Aktivieren aller Funktionen der von mir betreuten Domäne, keine Ahnung, ob Ihr mal auf meinen anderen Beitrag schauen wollt ;)

 

Ist ne pure Windows 2003-Domäne, die früher mal eine Windows 2000-Domäne war.

 

Der Eintrag "pre-Windows 2000", teilweise mit "compatible Access Group" schwirrt trotzdem noch im Active Directory und dcdiag herum. Obwohl der "Domain Functional Level" auf "Windows 2003" gesetzt wurde...

 

Grüße...

 

Thilo

anstelle der letzten Möglichkeit ist auch noch Microsoft Technet Link2 interessant...

dort wird empfohlen, man soll repadmin benutzen...

Guten Morgen zusammen!

 

Habe hier einen Tomstone-Server, den ich reaktivieren will.

 

Es gibt dazu folgende Szenarien:

 

- unter "Allow Replication With Divergent and Corrupt Partner" auf "1" stellen im Registry-Key "HKLM\System\CurrentControlSet\Services\NTDS\Parameters" und danach den Netlogon-Dienst wieder aktivieren, muss aber evtl. auf jedem DC-Server gemacht werden

 

- metadata cleanup, dabei ist aber das Problem, dass ich nicht weiss, was mit den Computern oder Clients passiert, welche auf dem Server und in der Domäne Mitglied sind, s. "Microsoft-Seite

 

- unter "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" den Eintrag "strict replication consistency" auf den REG_DWORD-Wert "1" stellen. siehe "Microsoft Technet

 

 

Dabei taucht die Frage auf, ob ich vorher die Server neu starten muss, um den Registry-Key in Funktion setzen zu können.

 

Grüße...

 

Thilo

Danke erst mal für die Hinweise...

 

In einer Domäne bin ich zuhause nicht, aber wenn ich den Dienst oder Service deaktiviere, müßte sich die Firewall auf keinen Fall wieder aktivieren können.

 

Grüße...

 

Thilo

Ich muss jetzt erst einmal versuchen, einen Tombstone-Server wieder zu beleben oder zu integrieren, das geht aber von einigen PCs nicht per Remote Desktop, aber von einigen anderen...

 

Der Grund ist, dass bestimmte Server mit einer kaputten Replikations-Information nur Verbindungen von Computern oder Servern akzeptieren, welche schon einmal eine Verbindung mit den AD-Servern hatten.

Wie der Spruch mit dem Bauer...

 

Grüße...

 

Thilo

ich komme von meinem PC nicht per Remote Desktop drauf, aber von anderen PCs geht's schon.

 

Trace Route oder tracert nimmt von meinem ne andere Route als die anderen PCs, da scheint an den "Route"s etwas schief zu laufen.

Selbst wenn ich auf den DCs bin, wohin ich ohne Probleme hinkomme, komme ich von dort nicht besser zu den Problemservern.

ich bin davon ausgegangen, dass die Deaktivierung der FW über das Sicherheitscenter genügen sollte.

 

Sicherer wäre es auf jeden Fall gewesen, über services.msc die FW anzuhalten.

 

Grüße...

 

Thilo

Die Zeit auf den Servern scheint gleich zu sein, zumindest auf den DCs mit den Fehlermeldungen, welche ich betrachtet habe.

 

auf die kritischen Server mit der Tombstone-Zeit komme ich nicht per Remote Desktop drauf...

Hallo zusammen!

 

Verstehe nicht, warum die Windows-Firewall auf meinem Windows XP SP2 mit allen aktuellen Patches, obwohl mit Admin-Rechten deaktiviert, nach dem Neustart wieder aktiv ist.

 

Wenn ich von meinem Win 2000 SP4-Rechner auf mein Notebook verbinden will, über f$, geht das nie nach dem Notebook-Neustart.

Dann muss ich die FW deaktivieren, und habe keine Probleme mehr...

 

Grüße

 

Thilo

Hallo zusammen!

 

Wollte aus Sicherheitsgründen (weiss ja nicht, ob Fremde ohne Benutzerkonto oder Suchmaschinen auf das Forum hier zugreifen können) meinen Beitrag editieren oder ändern, um die darin enthaltenen Infos zu anonymisieren.

 

Ging aber nicht mehr... :rolleyes:

 

Warum nicht?

 

Grüße...

 

Thilo

Ach ja, falls es hilft:

DNS produziert im Event Log die Nummer 3000:

The DNS server has encountered numerous run-time events. To determine the initial cause of these run-time events, examine the DNS server event log entries that precede this event. To prevent the DNS server from filling the event log too quickly, subsequent events with Event IDs higher than 3000 will be suppressed until events are no longer being generated at a high rate.

 

Und der File Replication Service auf dem DC 01 produziert ständig Fehlermeldungen, z. B. der NTFrs die ID 13501:

The File Replication Service is having trouble enabling replication from S-49-4900-??2 to S-49-4900-??1 for c:\windows\sysvol\domain using the DNS name s-49-4900-??2.ceg.musterdomäne.org. FRS will keep retrying.

Following are some of the reasons you would see this warning.

 

[1] FRS can not correctly resolve the DNS name s-49-4900-??2.ceg.musterdomäne.org from this computer.

[2] FRS... (Läuft!)

[3] The topology information in the Active Directory for this replica has not yet replicated to all the Domain Controllers.

 

Und noch was:

Nicht alle DCs und Domänenmitglieder an den verschiedenen Standorten haben Win 2003 SP1, was meiner Meinung nach die Replikationsprobleme mit bedingen kann. allerdings haben die gefährdeten Server alle den SP1 drauf, wie man über "Active Directory users and computers" herausfinden kann.

 

Thilo

Also wir haben verschiedene Standorte, welche in Subnetze unterteilt sind, jeder Standort ein Subnetz...

Standorte gibt es ziemlich viele.

Meinte eigentlich jetzt räumliche Standorte, wobei diese Standorte auch MS-Standorte bzw. Sites sind...

Sternnetz, und im "Problemnetz" gibt es keine Firewall zwischen den Servern, nur nach außen.

ich hatte bei einer Landesbehörde mit einem Kollegen zu tun, der echt fit auf dem Gebiet Active Directory ist, und der war der Meinung, dass das in einer reinen Win 2003-DomäneB****sinn sei, weil WINS immer bei einer gewissen Strukturierung reinfunkt, und sich nicht an Stukturen hält...

ich glaube, es waren Replikationen, welche von WINS immer durcheinander gebracht wurden, aber das ist schon ne Weile her.

 

Aber evtl. gibt es Möglichkeiten, dieses WINS bei Strukturierungen auch zu dressieren ;) u

 

Mit dem, dass es bei AD-integrierten Zonen keine eigentlich primäre gibt, hast Du Recht. Weil primäre heißt, es gibt nur einen DNS-Master. Oder es gäbe "mehrere" primäre, aber die Formulierung ist falsch...

 

Weiss denn nun jemand von Euch, ob die SOA vom DNS-Master höher als beim DNS-sekundären Server sein muss?

 

Grüße...

 

Thilo

Bin erst seit Montag in der Firma, die vor Arbeit nicht weiß, wo anpacken...

 

Mein Kollege, der sich jetzt um SQL-Server kümmert, hatte bei seinem "Amtsantritt" in dem Unternehmen schon einmal dieses Tombstone-Problem behandelt, und da war es weg.

 

Kommt aber immer wieder, und derjenige, der damals die Server aufgesetzt hatte, ist weg :(

 

Also gibt es keine Infos, und auch keine Dokumentationen darüber...

 

Grüße und noch nen guten Morgen...

 

Thilo

ich schaue morgen weiter, muss noch was einkaufen.

 

Danke erst mal für Deine Hilfe, schönen Feierabend...

 

Thilo

Nach DCDiag kommt das:

 

 

Domain Controller Diagnosis

 

Performing initial setup:

Done gathering initial info.

 

Doing initial required tests

 

Testing server: Ebersbach\S-49-4900-001

Starting test: Connectivity

......................... S-49-4900-001 passed test Connectivity

 

Doing primary tests

 

Testing server: Ebersbach\S-49-4900-??b

Starting test: Replications

[Replications Check,S-49-4900-??b] A recent replication attempt failed:

From S-31-0022-001 to S-49-4900-??b

Naming Context: DC=ForestDnsZones,DC=ceg,DC=musterdomäe,DC=org

The replication generated an error (1726):

Win32 Error 1726

...

The replication RPC call executed for too long at the server and

was cancelled.

Check load and resouce usage on S-31-0022-001.

...(Win32 error 1818)

[Replications Check,S-49-4900-??b] A recent replication attempt failed:

From S-31-0022-??a to S-49-4900-??b

Naming Context: DC=ceg,DC=musterdomäne,DC=org

The replication generated an error (1818):

Win32 Error 1818

...

 

REPLICATION-RECEIVED LATENCY WARNING

S-49-4900-??b: Current time is 2006-03-14 18:49:44.

DC=ForestDnsZones,DC=ceg,DC=musterdomäne,DC=org

Last replication recieved from S-49-0027-??b at 2005-11-10 12:24:08.

WARNING: This latency is over the Tombstone Lifetime of 60 days!

...

DC=DomainDnsZones...

REPLICATION-RECEIVED LATENCY WARNING

 

Source site:

 

CN=NTDS Site Settings,CN=Essen,CN=Sites,CN=Configuration,DC=ceg,DC=musterdomäne,DC=org

 

...

 

Check if source site has an elected ISTG running.

 

Check replication from source site to this server.

REPLICATION-RECEIVED LATENCY WARNING

 

Source site:

 

CN=NTDS Site Settings,CN=Schaan,CN=Sites,CN=Configuration,DC=ceg,DC=musterdomäne,DC=org

 

Current time: 2006-03-14 18:49:44

 

Last update time: 2006-03-06 18:10:04

 

... (wie oben)

REPLICATION-RECEIVED LATENCY WARNING

 

Source site:

 

CN=NTDS Site Settings,CN=Tilburg,CN=Sites,CN=Configuration,DC=ceg,DC=musterdomäne,DC=org

 

Current time: 2006-03-14 18:49:44

 

... (wie oben)

......................... S-49-4900-??b passed test Replications,==> frssysvol

Starting test: frsevent

There are warning or error events within the last 24 hours after the

 

SYSVOL has been shared. Failing SYSVOL replication problems may cause

 

Group Policy problems.

......................... S-49-4900-??b failed test frsevent

Starting test: kccevent

An Warning Event occured. EventID: 0x80000785

Time Generated: 03/14/2006 18:40:28

Event String: The attempt to establish a replication link for

 

An Warning Event occured. EventID: 0x80000785

Time Generated: 03/14/2006 18:40:28

Event String: The attempt to establish a replication link for

 

An Warning Event occured. EventID: 0x80000785

Time Generated: 03/14/2006 18:40:28

Event String: The attempt to establish a replication link for

 

......................... S-49-4900-??b failed test kccevent

Starting test: systemlog

......................... S-49-4900-??b passed test systemlog, VerifyReferences,

 

Running partition tests on : ForestDnsZones/DomainDnsZones/Schema/Configuration/ceg/ceg.musterdomäne.org

 

alles passed...

 

nach dem anderen schau ich mal... Moment mal...

Ach ja:

Netdiag bleibt auch hängen... nach 36 Punkten, der Cursor zeigt den 37. nicht mehr an...

 

Thilo

Guten Abend zusammen!

 

Ich habe irgendwelche Probleme mit Active Directory, einige Server werden im Replmon mit Kreuzchen dargestellt.

 

Wenn ich dann auf diese Kreuzchen-Server klicke, steht dran, dass die Replikation gescheitert ist, und ein Grund:

"The remote procedure call was cancelled." Das ist dieselbe Meldung, welche erscheint, wenn man nach der Event ID 1818 sucht...

 

Ich warte jetzt schon seit 5 Minuten, und der Taskmanager behauptet immer noch "not responding" vom Replmon.

 

Ich habe keine Ahnung, was ich da jetzt machen kann, außer abschießen, und den Replmon neu starten.

Immer noch "Replication Failure: The reason is: The remote procedure call was cancelled."

 

Was kann ich machen? :rolleyes:

 

Vielleicht was am DNS, weil die meisten Probleme darin liegen?

 

Grüße...

 

Thilo

Hallo Buzzer,

 

genau, es sind Active-Directory-integrierte DNS-Zonen.

 

Habe jetzt mal manuell eine Replikation vom sekundären Server auf den AD-integrierten Quellserver angestoßen, damit die Nummer hoffentlich gleich ähnlicher wird.

 

Die SOA auf dem primären ist 30486, die auf dem sekundären jetzt 30487...

 

War das jetzt ein Denkfehler, muss ich in der anderen Richtung replizieren?

 

War früher mit anderen Themen befaßt, als mit Replikationsproblemen, welche sich über zig Server erstrecken. :rolleyes:

Und jetzt versuche ich, die Fehlermeldungen in den Event Logs nachvollziehen zu können, und hoffe, dass bald mal ein Buch ankommt, was bei einem Buchhändler für mich bestellt wurde...

 

Das geht von Fehlermeldungen, welche auftreten, weil oft nur ein DC vorhanden ist, oder WINS, was wegen Performance-Gründen installiert ist, obwohl in Win 2003 nicht mehr nötig, und 4102-Fehlern, oder knappen DHCP-Adressen...

 

Grüße...

 

Thilo

Bin gerade am Troubleshooting der Active-Directory Probleme in der Domäne.

Neben anderen Fehlern wie 4015 und so, aber das ist ein anderes Kapitel.

 

Mir fiel gerade auf, dass der SOA-Wert oder die Seriennummer auf dem Quellserver oder primären DNS-Server niedriger ist als auf dem sekundären DNS-Server.

 

Ist das normal?

 

Grüße...

 

Thilo