SYSVOl wird nicht repliziert

[drawfit 10]

Hallo zusammen,

 

ich habe leider ein komisches Problem in einem Netzwerk mit 2 DCs (2003 und 2000).

Der 2003-er ist der GC und der 2000-er hält alle Rollen. Beide sind DNS-Server.

Der 2003-er ist der GC, der 2000er hält alle Rollen.

 

Der SYSVOL-Ordner wird nicht repliziert, d.h. GPOs sind unterschiedlich und z.B. testweise angelegte Textdateien werden nicht repliziert.

 

Benutzerattribute in der AD werden dagegen sauber repliziert.

 

Die Ereignisprotokolle, DCDiag und Replmon sind sauber bzw. laufen ohne Fehlermeldung durch.

 

Mit dem Tool FRSDIAG.exe erhalte ich allerdings eine ganze Latte an Fehlern.

 

DNS-Probleme kann ich auch keine finden, die Logs sind sauber, Ping & Nslookup funktionieren ebenfalls einwandfrei.

 

Hier mal ein Auszug aus dem Log vom 2003er Server:

[drawfit 10]

NTDS Replication 03.12.2007 10:21:33 Error 1388 Ein anderer Domänencontroller (DC) hat versucht, auf diesen DC ein Objekt zu replizieren, das in der lokalen Active Directory-Datenbank nicht vorhanden ist. Das Objekt wurde auf diesem DC möglicherweise gelöscht und bereits in die Sammlung der veralteten Objekte aufgenommen (eine Tombstone-Ablaufzeit oder mehr ist abgelaufen, seit das Objekt gelöscht wurde). Der Attributsatz in dieser Aktualisierungsanforderung reicht nicht aus, um das Objekt zu erstellen. Das Objekt wird mit einem vollständigen Attributsatz erneut angefordert und auf diesem DC erneut erstellt. Quelldomänencontroller (transportspezifische Netzwerkadresse): b1f2f3bf-b4c1-4d05-b19a-4370cc4d7dab._msdcs.domain.local Objekt: DC="89 CNF:d0977df6-7597-4c87-9145-d00bab8c881c",DC=192.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=domain,DC=local Objekt-GUID: d0977df6-7597-4c87-9145-d00bab8c881c Verzeichnispartition: DC=domain,DC=local Ziel-USN der letzten Eigenschaft: 0 Benutzeraktion: Überprüfen Sie, ob noch Bedarf für das Vorhandensein dieses Objekts besteht. Um die Neuerstellung zukünftiger ähnlicher Objekte zu unterbrechen, sollte der folgende Registrierungsschlüssel erstellt werden. Registrierungsschlüssel: HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Strict Replication Consistency

WARNING: Found Directory Service Errors in the past 15 days! FRS Depends on AD so Check AD Replication!

 

Checking for suspicious file Backlog size... passed

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)...

ERROR: Junction Point missing on "\\w2ksrv3alt\c$\windows\sysvol\sysvol"

ERROR: Junction Point missing on "\\w2ksrv3alt\c$\windows\sysvol\staging areas"

......... failed 2

 

Checking for errors in debug logs ...

ERROR on NtFrs_0003.log : "ERROR_ACCESS_DENIED" : <SndCsMain: 1696: 877: S0: 01:11:01> :SR: Cmd 013a9980, CxtG 1445fae8, WS ERROR_ACCESS_DENIED, To w2ksrv2.domain.local Len: (374) [sndFail - rpc call]

ERROR on NtFrs_0003.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain: 1696: 904: S0: 01:10:51> :SR: Cmd 0026fe78, CxtG 44820a03, WS EPT_S_NOT_REGISTERED, To w2ksrv2.domain.local Len: (374) [sndFail - Send Penalty]

ERROR on NtFrs_0003.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain: 1696: 883: S0: 01:10:51> ++ ERROR - EXCEPTION (000006d9) : WStatus: EPT_S_NOT_REGISTERED

ERROR on NtFrs_0003.log : "EPT_S_NOT_REGISTERED(This may indicate that DNS returns the IP address of the wrong computer. Check DNS records being returned, Check if FRS is currently running on the target server. Check if Ntfrs is registered with the End-Point-Mapper on target server!)" : <SndCsMain: 1696: 884: S0: 01:10:51> :SR: Cmd 013a9980, CxtG 1445fae8, WS EPT_S_NOT_REGISTERED, To w2ksrv2.domain.local Len: (374) [sndFail - rpc exception]

ERROR on NtFrs_0005.log : "RPC_S_CALL_FAILED_DNE(Indicates RPC Session was established to target, but there was a failure to send RPC call package. Check for Networking problems!)" : <SndCsMain: 9784: 883: S0: 10:44:46> ++ ERROR - EXCEPTION (000006bf) : WStatus: RPC_S_CALL_FAILED_DNE

[Daim 12]

Servus,

 

dann versuche dich mal an diesem Artikel:

 

Yusuf`s Directory - Blog - Dateireplikationsfehler mit der ID 13568

[drawfit 10]

Kann ich irgendwo die vollständige Replizierung manuell anstoßen?

Beim Replmon sieht es aus, dass nur die Änderungen der einzelnen Partitionen repliziert werden...

[drawfit 10]

Hallo Daim,

 

vielen Dank erstmal für die schnelle Antwort.

 

Soll ich das auch wirklich machen wenn ich diese ID gar nicht im Eventvwr erhalte??

[Daim 12]

NTDS Replication 03.12.2007 10:21:33 Error 1388 Ein anderer Domänencontroller (DC) hat versucht, auf diesen DC ein Objekt zu replizieren, das in der lokalen Active Directory-Datenbank nicht vorhanden ist. Quelldomänencontroller (transportspezifische Netzwerkadresse): b1f2f3bf-b4c1-4d05-b19a-4370cc4d7dab._msdcs.domain.local Objekt: DC="89 CNF:d0977df6-7597-4c87-9145-d00bab8c881c",DC=192.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=domain,DC=local Objekt-GUID: d0977df6-7597-4c87-9145-d00bab8c881c Verzeichnispartition: DC=domain,DC=local Ziel-USN der letzten Eigenschaft: 0

 

Hier befindet sich noch ein veraltetes Objekt im AD.

Das Objekt kannst du mit LDP oder ADSIEdit dann löschen.

Lies dir dazu diesen Artikel durch:

 

Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)

 

 

 

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)...

ERROR: Junction Point missing on "\\w2ksrv3alt\c$\windows\sysvol\sysvol"

ERROR: Junction Point missing on "\\w2ksrv3alt\c$\windows\sysvol\staging areas"

......... failed 2

 

Beachte dazu meinen Link in meiner ersten Antwort.

[drawfit 10]

Mit dem Befehl "LINKD %windir%\sysvol\sysvol" erhalte ich auf dem 2003er folgende Meldung:

 

C:\WINDOWS\sysvol\sysvol is not linked to another directory.

 

Auf dem 2000er sind wohl noch keine Support-Tools installiert...:(

 

Dann bearbeite ich das mal entsprechend deinen Links!

 

Vielen Dank schon mal!!!

[Daim 12]

Soll ich das auch wirklich machen wenn ich diese ID gar nicht im Eventvwr erhalte??

 

Ja, dass kannst du machen. Denn damit machst du nichts anderes, als einen non-authority Restore vom SYSVOL durchzuführen. Du musst nur sicherstellen welcher DC das vollständige SYSVOL-Verzeichnis enthält (samt Junction Points) und stellst in der Registry auf diesem DC dann den Key BURFLAGS D4. Auf den anderen DCs setzt du dann den Key BURFLAGS D2. Das ist aber alles in dem Artikel beschrieben.

[Daim 12]

Mit dem Befehl "LINKD %windir%\sysvol\sysvol" erhalte ich auf dem 2003er folgende Meldung:

 

C:\WINDOWS\sysvol\sysvol is not linked to another directory.

 

Ja, es fehlen die Junction Points die noch gesetzt werden müssen. Beachte den unten stehenden Artikel.

Du kannst dir die Junction Points z.B. auch mit diesem Tool setzen:

 

Junction Link Magic

 

 

Das Tool Linkd reicht dazu aber auch aus.

 

Linkd %Systemroot%\SYSVOL\SYSVOL\<DNS-Domänenname> C:\windows\sysvol\domain

Linkd %Systemroot%\SYSVOL\staging areas\<DNS-Domänenname> C:\WINDOWS\SYSVOL\staging\domain

 

Siehe:

http://support.microsoft.com/kb/315457/en-us

[drawfit 10]

Also, nachdem ich das Junction-Problem gelöst habe wurde der SYSVOL-Ordner leider immer noch nicht repliziert.

 

Daraufhin habe ich die Registry-Einträge (Cumulative Replica Sets) wie im Link beschrieben gesetzt und daraufhin den Dienst erneut gestartet.

 

Der 2000er-Server (Ursprungsserver) hat die IDs 13516 und 13566 ins Protokoll geschrieben.

Daraufhin habe ich den Dienst auf dem 2ten DC (2003, Zielserver) gestartet und abgewartet.

 

Leider sind die SYSVOL-Ordner immer noch nicht synchron (auf dem Zielserver haben aber alle erstellten Ordner das Datum der Wiederherstellung).

 

Nach dem Ausführen von DCDIAG erhalte ich auf dem 2000er folgende Meldung:

Starting test: frssysvol

There are errors after the SYSVOL has been shared.

The SYSVOL can prevent the AD from starting.

 

Auf dem 2003er Server zeigt DCDIAG keine Fehler auf.

 

Mit dem Tool FRSDIAG erhalte ich leider immer noch eine ganze Latte an Fehlern...

 

Muss ich den Link [Lingering Objects (veraltete Objekte)] unbedingt ausführen??

Bei einer "angeschlagenen" Replizierung lösche ich ungern Objekte...

 

 

Hier mal die FRSDIAG Meldungen:

 

auf beiden Servern:

 

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)...

WARNING: Could not check for Free Space on "c:\winnt\sysvol\staging\domain". The exception message was: Zugriff verweigert

ERROR: Junction Point missing on "\\w2ksrv2\c$\winnt\sysvol\sysvol"

ERROR: Junction Point missing on "\\w2ksrv2\c$\winnt\sysvol\staging areas"

 

Der Rest der Fehler ist so ziemlich mit dem identisch was ich vorher schon gepostet hatte.

 

Kann ich LINKD auch auf dem 2000er ausführen? Oder muss ich da ein Tool eines Drittanbieters nutzen?

LinkD auf dem 2003er gibt mir aber das korrekte Ziel (wie im Link gefordert) aus.

 

Was kann ich denn da noch machen???

[Daim 12]

Also, nachdem ich das Junction-Problem gelöst habe wurde der SYSVOL-Ordner leider immer noch nicht repliziert.

 

Es sollten also nun auf jedem DC die Junction Points existieren.

 

 

Muss ich den Link [Lingering Objects (veraltete Objekte)] unbedingt ausführen??

 

Nein, das hat mit dem SYSVOL Problem nichts zu tun.

Das ist ein anderes Problem.

 

 

on "c:\winnt\sysvol\staging\domain". The exception message was: Zugriff verweigert

ERROR: Junction Point missing on "\\w2ksrv2\c$\winnt\sysvol\sysvol"

ERROR: Junction Point missing on "\\w2ksrv2\c$\winnt\sysvol\staging areas"

 

Dann überprüfe doch mal mit dem Dritt-Anbieter Tool (oder Linkd bzw. cmd), ob die Junction Points auf dem 2000er DC tatsächlich existieren. Denn die Meldung im FRSDiag ist nicht immer korrekt.

 

In diesem Artikel werden die Junction points angezeigt:

 

Best Practices for Sysvol Maintenance

 

 

Kann ich LINKD auch auf dem 2000er ausführen?

 

Ja.

 

 

Oder muss ich da ein Tool eines Drittanbieters nutzen?

 

Nein, "muss" nicht. Da hast du eben eine GUI und nicht die böse Kommandozeile ;) .

 

 

Was kann ich denn da noch machen???

 

Die bereits geposteten Artikel erneut durchgehen. Dort steckt definitiv die Lösung.

Du kannst noch diese Artikel durchgehen:

 

How to relocate the SYSVOL tree on a domain controller that is running Windows 2000 Server or Windows Server 2003

Morphed folders appear in the SYSVOL Group Policy folder after you use Group Policy Object Editor to view a GPO on a Windows Server 2003-based domain controller

Using the BurFlags registry key to reinitialize File Replication Service replica sets

[drawfit 10]

Ok, also auf dem 2000er scheint es Probleme mit den Junction-Points zu geben.

 

Wenn ich mir die Bereitstellungspunkte ansehe erhalte ich folgende Fehlermeldung:

 

C:\WINNT\sysvol\sysvol\domain.local is not linked to another directory.

 

Wenn ich einen neuen Bereitstellungspunkt erstellen möchte erhalte ich mit dem Sysinternals-Tools die Meldung:

 

Error setting junction for C:\WINNT\sysvol\sysvol\domain.local:

Das Verzeichnis ist nicht leer.

 

Auch das Beenden des Dateirepl.Dienstes auf beiden Servern bringt nicht den erwünschten Erfolg...

 

Mit dem Tool SONAR sehe ich folgendes:

 

SYSVOLSHARED: Not an junction (auf dem 2000er)

 

Wie kann ich diesen Bereitstellungspunkt denn nun setzen?

 

Oder muss ich das SYSVOL-Verzeichnis verschieben? (How to relocate the SYSVOL tree on a domain controller that is running Windows 2000 Server or Windows Server 2003)

[drawfit 10]

Ist es möglich

- den Bereitstellungspunkt auf dem 2003er zu löschen?,

- den Ordner "domain" und "staging\domain" zu leeren/umbenennen? und

- anschließend den Bereitstellungspunkt vom 2000-Server neu zu erstellen?? :confused:

[drawfit 10]

Hallo Daim,

 

ich habe mir jetzt mit Hilfe dieses Beitrags vorerst helfen können:

http://www.mcseboard.de/windows-forum-allgemein-28/keine-replication-netlogon-ordners-mehr-windows-server-2003-a-3-114826.html

 

Da hast du ja auch einige wertvolle Tipps gegeben.

 

Ich habe zwar das FRSDIAG-Log und GPOTool noch nicht ganz sauber, die Rep. funktioniert allerdings wieder, die GPO sind aufrufbar und werden angewendet.

 

Die restlichen Probleme versuche ich die nächsten Tage in den Griff zu bekommen.

 

Ein ganz ganz ganz großes Dankeschön für deine Mühe & Hilfe. :thumb1:

[Daim 12]

Na wer sagts denn... so muss das sein.

Ja, wenn das SYSVOL Probleme bereitet ist das schon sher ärgerlich. Aber alles was du dazu brauchst, ist einen kühlen Kopf und diesen Thread mit samt den Informationen sowie Artikeln. Denn ich habe dir bereits alles geschrieben gehabt, wie sich das SYSVOL PRoblem beseitigen lässt. Zusätzlich mit der Angabe der Artikeln ist dieses Problem auf jedenfall zu beseitigen.

 

Wie dem auch sei, behalte das Eventlog im Auge und setze nicht alle Tools an (FRSDiag, Sonar..).

Das halte ich für unnötig und teilweise auch irritierend, denn die Tools sind etwas älter und zeigen auch schonmal ein Missing Junction Points an, obwohl es aber vorhanden ist.