Replikationsprobleme nach Disaster Recovery W2K3

[StephenK 10]

Hallo zusammen,

 

ich habe folgende Situation:

- AD unter W2K3 SP1 mit 2 DCs

- einer der DCs (ist auch Exchange 2003) raucht mit Hardware-Fehler ab

- Wiederherstellung des Servers auf identischer Hardware mittels IDR von BackupExec 10d

- Server startet - kann aber keine Replikation mit anderem DC durchführen

- die Sicherung war 14 Tage alt

 

Ich vermute, dass das mit dem abgelaufenen Kennwort des DCs zu tun hat?! Aber das Computerkonto eines DCs kann ich doch nicht einfach zurücksetzen, oder !?!?!?!?

 

Übliche Fehlermedlung sind: "Zielprinzipalname falsch", etc.

Die einschlägigen KB-Texte habe ich durchforstet und angewendet - leider kein Erfolg.

 

Bin für jeden Tip dankbar!!!

[Christoph35 10]

Hmm,

 

was sagt das Eventlog?

Was geben DCDiag /v und NetDiag aus?

 

Bitte mal hier posten, damit wir das besser beurteilen können.

 

Christoph

[StephenK 10]

hier zunächst DCDiag /v:

Domain Controller Diagnosis

 

Performing initial setup:

* Verifying that the local machine jupiter, is a DC.

* Connecting to directory service on server jupiter.

* Collecting site info.

* Identifying all servers.

* Identifying all NC cross-refs.

* Found 2 DC(s). Testing 1 of them.

Done gathering initial info.

 

Doing initial required tests

 

Testing server: Standardname-des-ersten-Standorts\JUPITER

Starting test: Connectivity

* Active Directory LDAP Services Check

The host 5597101b-c34c-43bb-9b13-c2f800b326d2._msdcs.evival.int could n

ot be resolved to an

IP address. Check the DNS server, DHCP, server name, etc

Although the Guid DNS name

(5597101b-c34c-43bb-9b13-c2f800b326d2._msdcs.evival.int) couldn't be

resolved, the server name (jupiter.evival.int) resolved to the IP

address (192.168.10.2) and was pingable. Check that the IP address is

registered correctly with the DNS server.

...... JUPITER failed test Connectivity

 

Doing primary tests

Testing server: Standardname-des-ersten-Standorts\JUPITER

Skipping all tests, because server JUPITER is

not responding to directory service requests

Test omitted by user request: Topology

Test omitted by user request: CutoffServers

Test omitted by user request: OutboundSecureChannels

Test omitted by user request: VerifyReplicas

Test omitted by user request: VerifyEnterpriseReferences

 

Running partition tests on : ForestDnsZones

Starting test: CrossRefValidation

.... ForestDnsZones passed test CrossRefValidation

 

Starting test: CheckSDRefDom

...... ForestDnsZones passed test CheckSDRefDom

 

Running partition tests on : DomainDnsZones

Starting test: CrossRefValidation

......... DomainDnsZones passed test CrossRefValidation

 

Starting test: CheckSDRefDom

........ DomainDnsZones passed test CheckSDRefDom

 

Running partition tests on : Schema

Starting test: CrossRefValidation

........... Schema passed test CrossRefValidation

Starting test: CheckSDRefDom

............ Schema passed test CheckSDRefDom

 

Running partition tests on : Configuration

Starting test: CrossRefValidation

...... Configuration passed test CrossRefValidation

Starting test: CheckSDRefDom

...... Configuration passed test CheckSDRefDom

 

Running partition tests on : evival

Starting test: CrossRefValidation

........ evival passed test CrossRefValidation

Starting test: CheckSDRefDom

........ evival passed test CheckSDRefDom

 

Running enterprise tests on : evival.int

Starting test: Intersite

Skipping site Standardname-des-ersten-Standorts, this site is outside

the scope provided by the command line arguments provided.

........... evival.int passed test Intersite

Starting test: FsmoCheck

Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355

A Global Catalog Server could not be located - All GC's are down.

Warning: DcGetDcName(PDC_REQUIRED) call failed, error 1355

A Primary Domain Controller could not be located.

The server holding the PDC role is down.

Warning: DcGetDcName(TIME_SERVER) call failed, error 1355

A Time Server could not be located.

The server holding the PDC role is down.

Preferred Time Server Name: \\erde.evival.int

Locator Flags: 0xe00001fd

Warning: DcGetDcName(KDC_REQUIRED) call failed, error 1355

A KDC could not be located - All the KDCs are down.

......................... evival.int failed test FsmoCheck

[StephenK 10]

und jetzt NetDiag:

Computer Name: JUPITER

DNS Host Name: jupiter.evival.int

System info : Windows 2000 Server (Build 3790)

Processor : x86 Family 15 Model 4 Stepping 10, GenuineIntel

List of installed hotfixes :

KB890046

... viele ...

KB935966

Q147222

 

Netcard queries test . . . . . . . : Passed

GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]

GetStats failed for 'WAN-Miniport (PPTP)'. [ERROR_NOT_SUPPORTED]

GetStats failed for 'WAN-Miniport (PPPOE)'. [ERROR_NOT_SUPPORTED]

[WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has

not received any packets.

[WARNING] The net card 'WAN-Miniport (Netzwerkmonitor)' may not be working b

ecause it has not received any packets.

GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]

 

Per interface results:

Adapter : LAN-Verbindung 2

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : jupiter

IP Address . . . . . . . . : 192.168.10.2

Subnet Mask. . . . . . . . : 255.255.255.0

Default Gateway. . . . . . : 192.168.10.254

Primary WINS Server. . . . : 192.168.10.2

Secondary WINS Server. . . : 192.168.10.1

Dns Servers. . . . . . . . : 192.168.10.1

192.168.10.254

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed

[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge

r Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Passed

 

Global results:

Domain membership test . . . . . . : Failed

[WARNING] Ths system volume has not been completely replicated to the local

machine. This machine is not working properly as a DC.

NetBT transports test. . . . . . . : Passed

List of NetBt transports currently configured:

NetBT_Tcpip_{C5306D92-139C-4512-914A-E8477AB9FC2A}

1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed

[WARNING] You don't have a single interface with the <00> 'WorkStation Servi

ce', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Failed

[WARNING] The DNS entries for this DC are not registered correctly on DNS se

rver '192.168.10.1'. Please wait for 30 minutes for DNS server replication.

[WARNING] The DNS entries for this DC are not registered correctly on DNS se

rver '192.168.10.254'. Please wait for 30 minutes for DNS server replication.

[FATAL] No DNS servers have the DNS records for this DC registered.

Redir and Browser test . . . . . . : Passed

List of NetBt transports currently bound to the Redir

NetBT_Tcpip_{C5306D92-139C-4512-914A-E8477AB9FC2A}

The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser

NetBT_Tcpip_{C5306D92-139C-4512-914A-E8477AB9FC2A}

The browser is bound to 1 NetBt transport.

[StephenK 10]

DC discovery test. . . . . . . . . : Failed

[FATAL] Cannot find DC in domain 'EVIVAL'. [ERROR_NO_SUCH_DOMAIN]

DC list test . . . . . . . . . . . : Failed

'EVIVAL': Cannot find DC to get DC list from [test skipped].

Trust relationship test. . . . . . : Failed

'EVIVAL': Cannot find DC to get DC list from [test skipped].

[FATAL] Secure channel to domain 'EVIVAL' is broken. [ERROR_NO_LOGON_SERVERS

]

Kerberos test. . . . . . . . . . . : Skipped

'EVIVAL': Cannot find DC to get DC list from [test skipped].

LDAP test. . . . . . . . . . . . . : Passed

Found DC '\\erde.evival.int' in domain 'EVIVAL'.

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped

No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

 

na, irgendwas entdeckt?

[blub 115]

Hi,

bist du nach einer RestoreAnleitung für DCs von Symantec vorgegangen? Microsoft empfiehlt einzelne ausgefallene DCs nur mittels dcpromo wiederherzustellen. Aus eigener Erfahrung kann ich diese Empfehlung nur bestätigen.

 

macht das IDR was mit Imaging?

 

zurücksetzen kannst du das PW des DCs mit

netdom resetpwd /server %computername% /userD:administrator /passwordD:*

(machs zweimal!)

ebenso das PW des users krbtgt. (s. Seite 33 und 34 im Dokument unten)

 

Download details: Forest Recovery

 

cu

blub

[StephenK 10]

Hi,

 

danke werde ich gleich mal ausprobieren.

 

zum IDR von Symantec BackupExec 10d:

Da wird eine bootfähige CD erstellt und dann ein Grund-OS installiert (gleiches wie das wiederherzustellnde) und dann die Sicherung wiederhergestellt - also kein Imaging!

[StephenK 10]

Hi,

 

muss ich das NetDom auf dem funktionierenden oder auf dem wiederhergestellten DC ausführen - ich frage besser vorher noch mal sicherheitshalber nach :suspect:

[blub 115]

am wiederhergestellten DC, weil sein PW wahrscheinlich abgelaufen ist

[Daim 12]

@StephenK

 

Ich hatte dir doch schon "woanders" geantwortet.

 

So wie blub es auch erwähnte, führe NETDOM auf dem gecrashten DC aus, damit er sich ein neues Computerkennwort verpasst.

 

Das Zurücksetzen des Passwortes mittels NetDOM funktioniert folgendermaßen:

 

- Den Kerberos-Dienst beenden und auf manuellen Start setzen (wegen dem folgenden notwendigen Reboot ohne diesen Dienst).

- NETDOM RESETPWD /server:{PDC-Emulator} /userd:{Domänenadmin} /passwortd:{Admin-Passwort}

Der DC gibt sich hiermit selbst ein neues Computer-Passwort und

synchronisiert dieses sofort mit dem PDC-Emulator.

- Neu booten. Der reparierte DC sollte jetzt auch ohne KDC-Dienst hochfahren

und sich ein Kerberos-Ticket von einem anderen DC holen.

- Nach erfolgreichem Reboot KDC-Dienst wieder starten und auf automatisch setzen

[StephenK 10]

@alle

 

ich habe jetzt die genannten Tips und Hinweise ausgeführt - leider kein Erfolg...

Hat noch jemand eine Idee?

[Velius 10]

Da steht überall [no_logon_servers_available] usw, ...

 

Sag mal, ist die IP 192.168.10.1 & 192.168.10.254 (DNS) überhaupt pingbar vom DC?

 

 

Gruss

Velius

[StephenK 10]

Hi,

 

ja der Ping läuft - zu beiden - ich komme auch per RDP auf den Server drauf...

[Velius 10]

Bist du wie hier beschrieben - einfach wieder vergessen - vorgegangen?

 

P.S.: War der DC PDC-Emulator?

[StephenK 10]

Hallo Velius,

 

die Vorgehensweise ist etwas unterschiedlich gewesen:

- IDR-Medium mit BAE vorbereitet (W2K3-Installation mit ASR- und IDR-Dateien), macht BAE selbstständig

- mit IDR Medium gebootet

- Server Grundinstallation wird autom. durchgeführt

- NIC-Treiber geladen

- Verbindung mit BAE-Server hergestellt

- Backup wiederhergestellt

- rebbot

- fertig