LDAP Problem

[Helli_Do 10]

Hallo zusammen!

 

Hatte vorher einen win 2003 server (server2003) der als betriebsmaster agierte und durch einen crash nicht mehr startete = tot.

 

Die FSMO Rollen habe ich dann mit ntdsutil und seize auf einen win 2000 server (mailserver) übernommen der jetzt betriebsmaster ist.

 

Bei netdiag bekomme ich jedoch folgende Fehlermeldung:

 

LDAP test. . . . . . . . . . . . . : Passed

[WARNING] Failed to query SPN registration on DC 'mailserver.########.##'.

 

[WARNING] Failed to query SPN registration on DC 'server2003'.

 

 

Auf diesem Server läuft auch der DNS Server.

 

Den "server200" gibt es nicht mehr und ich habe das AD so gut wie möglich bereinigt.

 

Danach wäre die Übertragung des Masters auf win 2003 geplant

 

Könnt ihr mir bitte helfen

 

DANKE

 

Helli

[gysinma1 13]

Hallo

 

Hast Du den alten Domaincontroller im dssite.msc auch entfernt und im DNS Server ? Stimmen die IP Adressen ?

 

Dann würde ich mal n netdiag /fix probieren.

 

Gibt es Fehler im NTFRS Log oder im DNS Log ?

 

Was sagt der dcdiag auf dem Domaincontroller ?

 

Grüsse & Viel ERfolg

Matthias

[Helli_Do 10]

Danke für die Antwort.

 

Nun bin ich heffentlich schon etwas weiter.

Habe auf meinem Betriebsmaster den DNS-Server komplett gelöscht und neu erstellt.

Danach die Tests "netdiag" und "dcdiag" erfolgreich durchlaufen lassen.

Nachfolgend nochmal meine Vorgehensweise und mein jetziges Problem.......

 

1)

server 2000 - "MAILSERVER" (dns-server, betriebsmater, schemamaster,....)

server 2003 - "MAIL2003" (mitgliedsserver in der domäne)

server 2000 - tests netdiag und dcdiag erfolgreich - ohne fehler

 

2)

server 2003 - "MAIL2003"

- mit dcpromo als zus. domänencontroller registriert

- neustart

- netdiag - KEINE FEHLER

- dcdiag - FEHLER

-> fehler

Starting test: frsevent

There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.

MAIL2003 failed test frsevent

 

- FEHLER in der ereignisanzeige "Dateireplikationsdienst"

Der Dateireplikationsdienst hat die Replikation von MAILSERVER nach MAIL2003

für c:\windows\sysvol\domain nach wiederholten Versuchen aktiviert.

 

server 2000 - "MAILSERVER"

- tests netdiag und dcdiag erfolgreich - ohne fehler

 

So, ich trau' mich aber nicht den Server "MAIL2003" neu zu starten, da ich bei meinen letzten Versuchen

(allerdings hatte ich da wahrscheinlich noch grössere DNS-Probleme) keine Netzwerkverbindung mehr

hatte und sämtliche Dienste (Netzwerkverbindungen, Com+,....) nicht mehr starteten.

[gysinma1 13]

"- FEHLER in der ereignisanzeige "Dateireplikationsdienst"

Der Dateireplikationsdienst hat die Replikation von MAILSERVER nach MAIL2003

für c:\windows\sysvol\domain nach wiederholten Versuchen aktiviert"

 

Das ist lediglich eine Warning, dass es Probleme gab mit dem Replikationsaufbau.

 

Starte das Tool replmon und auf der dritten Lasche kannst Du auswählen, Check Domain for replicationerrors. Dort gibts Du den FQDN der Domain an. Das tool prüft die Replikationskataloge auf Herz und Nieren. (Ist gefahrenlos, kann on the fly ausgeführt werden). wenn das Tool nix meldet kannst du guten Gewissens ein Replikationsproblem ausschliessen.

 

Gruss,

Matthias

[Helli_Do 10]

Hallo Matthias!

 

Danke für die Antwort.

 

Leider schon wieder dasselbe Problem!

 

Hab' den Server "Mail2003" (Server 2003) neu gestartet) und

nun folgende, massive Probleme:

 

- beim Start des Server kann dieser noch im Netz "angepingt" werden

- dies ändert sich jedoch im Laufe der Anmeldung

- nach der Anmeldung am Server:

- kein Lan-Verbindungsobjekt mehr

- kein "Ping" zum Server und im Netzwerk möglich

- viele Dienst starten nicht mehr bzw. werden beendent.....

- Com+ Ereignissystem -> wird gestartet (Starttyp automatisch)

- Shellhardwareerkennung -> wird gestartet (Starttyp automatisch)

- Dateireplikationsdienst -> beendet / kann nicht gestartet werden

 

- Fehler in der Ereignisanzeige:

1) ANWENDUNG

a)

Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während der

internen Verarbeitung erkannt.

HRESULT war 80070005 von Zeile 44 von

d:\nt\com\complus\src\events\tier1\eventsystemobj.cpp.

Wenden Sie sich an den Microsoft-Produktsupport.

b)

Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während

der internen Verarbeitung erkannt.

HRESULT war 80004015 von Zeile 142 von

d:\nt\com\complus\src\events\tier2\service.cpp.

Wenden Sie sich an den Microsoft-Produktsupport.

c)

MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers

nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin

und verwendet die vorhandenen Sicherheitseinstellungen.

Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1252

No Callstack, CmdLine: C:\WINDOWS\system32\msdtc.exe

d)

Der Benutzer oder der Computername kann nicht ermittelt werden.

(In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar. ).

Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

2) SYSTEM

a)

Der IPSec-Treiber hat in den gesperrten Modus gewechselt.

IPSec wird sämtlichen ein- und ausgehenden TCP/IP-Netzwerkverkehr,

der laut den Startzeit-IPSec-Richtlinienausnahmen nicht zugelassen ist,

verwerfen. Benutzeraktion: Deaktivieren Sie die IPSec-Dienste,

und starten Sie den Computer neu, um die vollständige,

ungesicherte TCP/IP-Konnektiviät wiederherzustellen.

b)

Das SAM-Modul konnte den TCP/IP- bzw. SPX/IPX-Listening-Thread nicht starten.

 

3) VERZEICHNISDIENST

a)

Interner Fehler: Active Directory Fehler aufgetreten.

Zusätzliche Daten

Fehlerwert (dezimal): 1899

Fehlerwert (hexadezimal): 76b

Interne Kennung: 3160314

 

...und noch einige Fehler mehr, die ja dadurch zustande kommen, dass keine Netzwerkverbindung

mehr besteht und keine Verbindung zum AD hergestellt werden kann.

Ich hab zuvor nach bestem Wissen auf dem bestehenden Betriebsmaster (Win 2000) und auf diesem

Server "MAIL2003", nach dem 1. Neustart zum heraufstufen als Domaincontroller

die Tests "dcdiag" und "netdiag" durchgeführt - ohne Fehler.

Nun, nach dem Neustart nun das.....

Ich weiss mir keinen Rat mehr.....

 

Helli

[gysinma1 13]

Hallöchen

 

Ja das sieht ganz heftig aus. Ich würde mal noch überprüfen folgendes überprüfen. Die COM Fehler sind "normal" bei dieser Situation.

 

c)

MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers

nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin

und verwendet die vorhandenen Sicherheitseinstellungen.

Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1252

No Callstack, CmdLine: C:\WINDOWS\system32\msdtc.exe

Ich würde die msdtc DB clearen. Ist das Netz während dem Promoting/Demoting nicht verfügbar ist dies normal. msdtc -reset (?)

 

Der IPSec-Treiber hat in den gesperrten Modus gewechselt.

IPSec wird sämtlichen ein- und ausgehenden TCP/IP-Netzwerkverkehr,

der laut den Startzeit-IPSec-Richtlinienausnahmen nicht zugelassen ist,

verwerfen. Benutzeraktion: Deaktivieren Sie die IPSec-Dienste,

und starten Sie den Computer neu, um die vollständige,

ungesicherte TCP/IP-Konnektiviät wiederherzustellen.

Macht mich stutzig. Ist IPSEC enabled und konfiguriert ? Ich würde dies auf beiden Seiten mal ausschalten.

 

Ebenso ist auch strange, dass der Server hochkommt, erreichbar ist un dplötzlich "wech" ist. Disable mal den IPSEC Dienst ganz und reboote das Teil.

 

Habt Ihr zufällig IPSEC Konfigurationen ausgerollt ? Dann wäre eine These, dass die beiden DCs sich nicht sauber "entdecken" können.

 

Gruss

Matthias

[Helli_Do 10]

Hi Matthias!

 

Danke für deine wertvollen Tipps!

Bin wieder etwas weiter.....

 

Habe...

- Ipsec beendet und deaktiviert (auf beiden Servern)

- msdtc -reset

- reboot server2003

 

Jetzt hängt das ding soweit wieder im netz dass ich diesen anpingen kann.

Mit IPSec Konfigurationen hab ich noch nie etwas gemacht...?

 

Hast du bitte noch Tipps wie ich weiter vorgehen kann?

Schick dir nachfolgend die Fehler-Auswertungen von dcdiag und netdiag.

Die Lan-Verbindung wird leider immer noch nicht angezeigt....

 

Danke

Helli

 

---------------------------------------------------------------------------------

Domain Controller Diagnosis

 

Performing initial setup:

[mail2003] Directory Binding Error 1753:

In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.

This may limit some of the tests that can be performed.

Done gathering initial info.

 

Doing initial required tests

 

Testing server: Serfaus\MAIL2003

Starting test: Connectivity

[MAIL2003] DsBindWithSpnEx() failed with error 1753,

In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar..

......................... MAIL2003 failed test Connectivity

---------------------------------------------------------------------------------

 

 

Host Name. . . . . . . . . : mail2003

IP Address . . . . . . . . : 192.168.66.8

Subnet Mask. . . . . . . . : 255.255.255.0

Default Gateway. . . . . . : 192.168.66.254

Dns Servers. . . . . . . . : 192.168.66.3

192.168.66.8

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed

PASS - All the DNS entries for DC are registered on DNS server '192.168.66.3' and other DCs also have some of the names registered.

[WARNING] The DNS entries for this DC cannot be verified right now on DNS server 192.168.66.8, ERROR_TIMEOUT.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Failed

[WARNING] Cannot call DsBind to mail2003.skiserfaus.at (192.168.66.8). [EPT_S_NOT_REGISTERED]

Trust relationship test. . . . . . : Passed

Secure channel for domain 'KOMPERDELL' is to '\\mailserver.skiserfaus.at'.

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

[WARNING] Failed to query SPN registration on DC 'mail2003.skiserfaus.at'.

[WARNING] Failed to query SPN registration on DC 'mailserver.skiserfaus.at'.

Bindings test. . . . . . . . . . . : Passed

---------------------------------------------------------------------------------

[gysinma1 13]

Hallo

 

Gehe mal auf den FSMO öffne eine CMD Box und gib repadmin /syncall ein.

 

Dann nehme ich an, dass Du dcdiag /fix und netdiag /fix eingegeben hast. Aufgefallen ist mir, dass die Anordnung der DNS nicht MS best practice entspricht. Der 1. DNS ist immer der eigene DC. (gilt für beide). Don't worry es kann 1-2h gehen bis eine DNS Zone vollständig aufgebaut ist. Es kann sein, dass die DNS Zonen noch nicht vollständig repliziert sind. (Forest DNS und Domain DNS). Wichtig ist auch, dass die DNS Search Order bei den Netzwerkeinstellungen auf beiden Servern identisch ist.

 

Starting test: Connectivity

[MAIL2003] DsBindWithSpnEx() failed with error 1753,

Dieser RPC Fehler gefällt mir nicht. Schau mal unter How to troubleshoot RPC Endpoint Mapper errors

 

 

Der Fehler

[WARNING] Failed to query SPN registration on DC 'mail2003.skiserfaus.at'.

[WARNING] Failed to query SPN registration on DC 'mailserver.skiserfaus.at'.

sind fehlende oder nicht gefundendene SPN Einträge. Diese können wieder angelegt werden, sollten sie sich nicht mit dcdiag /fix und den anderen Massnahmen "regenerieren".

 

Bei AD ist es halt oft so Geduld bringt Rosen ... einfach mal ne halbe Stunde warten.

 

Was sagt der replmon dazu ? Das würde Dir die beste Übersicht geben.

 

Dann wäre noch wichtig, dass beide DCs einen GC haben.

 

Grüsse,

Matthias

[Helli_Do 10]

Hi!

 

Danke für die schnelle Antwort!

Irgendwie scheint sich bei den AD-Verbindungen nix zu tun.....

 

repadmin /syncall

DsBindWithCred to localhost failed with status 1753 (0x6d9):

In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.

 

Beim FSMO ist der 1. DNS richtig eingetragen.

Beim 2003-er wie du richtig bemerkt hast - nicht.

Kann dies derzeit nicht ändern da das Objekt für die LAN-Verbindung verschwunden ist....

 

Dieser RPC Fehler gefällt mir nicht. Schau mal unter ....... ->> Hab ich versucht, leider ohne Erfolg

 

Beide sind GC.

Schick dir beigefügt den Screenshot des Repadmin.

Irgendwie tut sich auf dem Server nix......

 

Grüsse

Helli

[gysinma1 13]

Hallöle

 

Hattest Du mal Teaming eingeschaltet ? Mit netsh (ist nicht ganz einfach) kann dies auch ohne fenster geändert werden.

 

Gruss,

MAtthias

[neherto 0]

Hallo! Ich weiß dieser Thread ist URALT, aber vielleicht liest ihn noch einer der Beteiligten.

Es ist auch klar, Windows Server 2000 / 2003 - alles uralt, nicht mehr supported.

 

Trotzdem, ich habe einen Kunden übernommen und möchte dort auf Windows Server SBS 2011 migrieren. Die alte Domäne ist aber noch Windows Server 2000 / Exchange 2000! Ich habe es auch nicht geglaubt!

Nun installiere ich in etwa anhand der Swing Migration einen Windows Server 2003 in die Domäne und versuche darüber nach 2008R2 zu kommen!
Immer wenn ich nach DCPROMO/DNS/etc an den letzten Neustart komme, habe ich exakt die Symptome aus diesem Thread!

 

Netzwerkkarte weg

der Server war nicht mehr erreichbar

IPSEC deaktiviert finde ich ihn wieder im Netz

Active Directory meldet auch sync

mit netsh habe ich schon den DNS geändert

 

Die GROSSE FRAGE wenn das noch einer der Beteiligten liest, WIE ist es weitergegangen?

Habt ihr das Problem jemals gelöst?

Vielen Dank! neherto

 

[Sunny61 806]

Erstell einen neuen eigenen Thread, fremde Threads kapert man auch nicht. Steht so in den Regeln, No. 7 suchst Du: https://www.mcseboard.de/topic/191452-mcseboardde-regeln-nutzungsbedingungen/ Danke fürs umsetzen und für dein Verständnis.