ag1 15 Geschrieben 26. Januar 2008 Melden Teilen Geschrieben 26. Januar 2008 Hallo, ich habe heute bei einem Kunden einen neuen W2k3 R2 Server in Betrieb genommen. Dieser soll als zweiter DC zum vorhandenen W2k-Server hinzukommen. Bin nun folgendermaßen vorgegangen: 1. Komplettes Backup des Systems erstellt 2. Auf dem W2K-Server ADPREP /FORESTPREP und ADPREP /DOMAINPREP von der CD2 ausgeführt -> alles fehlerfrei 3. Den neuen Server als zusätzlichen DC in die bereits existierende Domäne aufgenommen (FLZ AD-integriert und "Nur sichere Updates"). Dabei hat er schon das AD übernommen. 4. Serverneustart 5. DNS installiert aber nicht konfiguriert, da ja schon vorhanden 6. Nun hab ich die 5 FSMO-Rollen auf den neuen Server verschoben 7. Den W2k3-Server zum GC erklärt Soweit sollte alles passen und es kam auch keinerlei Fehlermeldung. Nach und nach erhielt ich im Ereignisprotokoll Meldungen, daß bestimmte Schritte der Replizierung (z.B. der neue Server ist nun GC) nun abgeschlossen sind. Ich hab dann immer wieder mal "dcdiag" ausgeführt und die dort mit "Failed" aufgeführten Punkte wurden immer weniger. Nach einiger Zeit waren nur noch zwei "failed"-Punkte dabei: netlogons und frssysvol. Die Freigabe "SYSVOL" ist zwar inzwischen am neuen Server auch vorhanden, aber es steht nur der Domänenname drin, die Unterordner "policies" und "scripts" fehlen noch (das "failed" bei "frssysvol" ist nun auch durch ein "passed" ersetzt worden). Die Freigabe "NETLOGON" fehlt immer noch. Im Ereignisprotokoll hab ich natürlich nun auch den Eintrag, daß auf die GPOs nicht zugegriffen werden kann. Hab natürlich dann im Internet gewühlt und folgendes überprüft, aber leider ohne Erfolg: 1. DNS sollte korrekt funktionieren: nslookup gibt als Standardserver den alten Servernamen inkl. dessen IP-Adresse aus. Gebe ich nslookup 2k3server ein, werden beide DCs inkl. korrekter IP-Adresse aufgelistet. Auch ein ping auf die Servernamen gibt die korrekte IP wieder. 2. Wenn ich mit "PEPLMON" beide Server anzeigen lasse, werden nur "The last replication attempt was successfull" angezeigt 3. "netdiag" sagt, daß auch alles i.O. ist 4. Unter "AD Standorte und Dienste" werden beide DCs angezeigt und es existiert bei NTDS-Settings auch jeweils eine Verbindung zum anderen DC 5. Beide DCs sind im DNS eingetragen, sowohl in der FLZ als auch der RLZ 6. Im Ereignisprotokoll tauch manchmal ein Eintrag auf, daß "wiederholt die Replizierung von SYSVOL aktiviert wurde"... So, mehr fällt mir nun nicht mehr ein. Kann es sein, daß die Replizierung zwischen den beiden Servern noch nicht abgeschlossen ist und ich mir unnötig Sorgen mache? Wie lange dauert denn die Replizierung "normalerweise" (17 Clients, nur Standard-GPO)? Würde mich sehr über Antworten freuen. Grüße ag1 Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 26. Januar 2008 Melden Teilen Geschrieben 26. Januar 2008 Poste mal die Eventid... Zitieren Link zu diesem Kommentar
ag1 15 Geschrieben 28. Januar 2008 Autor Melden Teilen Geschrieben 28. Januar 2008 Hallo, ich hab mich heute mal per Fernwartung bei dem Kunden eingeloggt und nachgeschaut. Ich hab am Samstag das Ereignisprotokoll geleert und nun taucht kein Eintrag mehr auf. Hab den Dateireplikationsdienst mal neu gestartet. Dann taucht der Eintrag "Der Dateireplikationsdienst verhindert nicht mehr die Heraufstufung.... (ID13516)" auf. Die Freigabe "NETLOGON" existiert immer noch nicht, "SYSVOL" gleicher Stand wie schon bei meinem ersten Posting. Kann es sein, daß ich die FSMO-Rollen zu früh übertragen habe? Hätte ich da warten müssen bis alles auf den neuen Server repliziert war? "dcdiag" und "netdiag" laufen auf beiden Servern mit "passed" durch, bis auf den genannten "failed" bei "netlogons" am neuen Server. Hat noch jemand eine Idee was ich hier machen könnte damit Netlogon und Sysvol repliziert werden? Grüße ag1 Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 28. Januar 2008 Melden Teilen Geschrieben 28. Januar 2008 Hast du auf einem oder beiden Servern eine Firewall am laufen? Zitieren Link zu diesem Kommentar
ag1 15 Geschrieben 28. Januar 2008 Autor Melden Teilen Geschrieben 28. Januar 2008 Hallo, auf dem Win2k-Server ist keine Firewall installiert und die auf dem Win2003-Server hab ich soweit ich mich erinnern kann deaktiviert. Gruß ag1 Zitieren Link zu diesem Kommentar
ag1 15 Geschrieben 1. Februar 2008 Autor Melden Teilen Geschrieben 1. Februar 2008 Hallo, hab den Fehler inzwischen gefunden und gelöst. Die "Junction points" am Win2000-Server waren fehlerhaft. Ich hab sie neu erstellt, und dann die Replikation neu gestartet. Nun klappt die Replizierung einwandfrei. Auch "dcdiag" läuft fehlerfrei durch. Grüße ag1 Zitieren Link zu diesem Kommentar
ag1 15 Geschrieben 15. Februar 2008 Autor Melden Teilen Geschrieben 15. Februar 2008 Hallo, jetzt hab ich doch nochmal eine Frage: Der neue Server läuft nun im Großen und Ganzen einwandfrei. Sämtliche Diagnosetools (dcdiag,usw.) laufen fehlerfrei durch. Nur eins macht mir noch Sorgen: Letztens hab ich beide Server gleichzeitig neu gestartet. Dabei war natürlich der neue Server schneller wieder einsatzbereit als der alte. Im Ereignisprotokoll hab ich aber am neuen Server folgenden Eintrag: Ereignistyp: Fehler Ereignisquelle: NTDS Replication Ereigniskategorie: Verzeichnisdienst-RPC-Client Ereigniskennung: 2087 Datum: 08.02.2008 Zeit: 23:23:42 Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG Computer: 2K3SERVER Beschreibung: Active Directory konnte den folgenden DNS-Hostnamen des Quelldomänencontrollers nicht zu einer IP-Adresse auflösen. Dieser Fehler verhindert die Replizierung von von Hinzufüge- bzw. Löschvorgängen oder Änderungen im Active Directory zwischen einen oder mehreren Domänencontrollern in der Gesamtstruktur. Sicherheitsgruppen, die Gruppenrichtlinie, Benutzer und Computer und deren Kennwörter werden dadurch inkonsistent zwischen den Domänencontrollern, solange dieser Fehler nicht behoben wird. Eventuell wird auch die Anmeldungsauthentifizierung bzw. der Zugriff auf Netzwerkressourcen, beeinflusst. Quelldomänencontroller: 2kserver Fehlgeschlagener DNS-Hostname: dbed3b3c-a2eb-4795-88ec-26b43f5fc28d._msdcs.DOMAIN.de Anmerkung: Standardmäßig werden nur maximal 10 DNS-Fehler innerhalb eines Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler aufgetreten sind. Setzen Sie den folgenden Registrierungswert auf 1, um alle individuellen Fehlerereignisse zu protokollieren: Registrierungspfad: HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client Benutzeraktion: 1) Wenn der Quelldomänencontroller nicht mehr funktioniert bzw. dessen Betriebssystem unter einem anderen Computernamen oder NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten des Quelldomänencontrollers mit dem Programm NTDSUTIL.EXE entsprechend der im MSKB-Artikel 216498 dargelegten Schritte. 2) Bestätigen Sie, dass auf dem Quelldomänencontroller Active Directory ausgeführt wird, und dass auf diesen über das Netzwerk zugegriffen werden kann, indem Sie "NET VIEW \\<Quell-DC-Name>" oder "PING <Quell-DC-Name>" eingeben. 3) Stellen Sie sicher, dass der Quelldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, und dass der Host- bzw. CNAME-Eintrag des Quelldomänencontrollers richtig registriert ist, indem Sie die für den DNS erweiterte Version von DCDIAG.EXE, verfügbar unter Domain Name System, ausführen. dcdiag /test:dns 4) Stellen Sie sicher, dass dieser Zieldomänencontroller einen gültigen DNS-Server für die DNS-Dienste verwendet, indem Sie die für den DNS erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der Konsole ausführen: dcdiag /test:dns 5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie unter KB 824449: Troubleshooting Active Directory replication failures that occur because of DNS lookup failures, event ID 2087, or event ID 2088 Zusätzliche Daten Fehlerwert: 11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten des angeforderten Typs gefunden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter TechNet Events And Errors Message Center: Basic Search. Muß ich mir da Sorgen machen bzw. muß ich was unternehmen? Oder kann ich den Fehler ignorieren, da es ja der alte Server nur noch nicht getartet war. Grüße ag1 Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 15. Februar 2008 Melden Teilen Geschrieben 15. Februar 2008 Servus, Muß ich mir da Sorgen machen bzw. muß ich was unternehmen? Oder kann ich den Fehler ignorieren, da es ja der alte Server nur noch nicht getartet war. mach dir erstmal keine Sorgen und behalte das im Auge. Überprüfe die DCs erneut mit DCDIAG sowie NetDIAG. Aber merke dir vorallem für die Zukunft: Man startet nicht beide DCs gleichzeitig neu (wenn nur zwei DCs existieren). Denn was machst du, wenn beide auf einmal nicht mehr hochfahren... Zitieren Link zu diesem Kommentar
ag1 15 Geschrieben 15. Februar 2008 Autor Melden Teilen Geschrieben 15. Februar 2008 Hallo, das ging ja schnell. Vielen Dank für deine Antwort. Jetzt bin ich beruhigt. Werde nochmal dcdiag und netdiag ausführen und schauen was dabei rauskommt. In Zukunft werde ich nicht mehr beide Server gleichzeitig starten. Hab ehrlich gesagt gar nicht dran gedacht, daß da was passieren könnte. Danke für den wertvollen Hinweis. Wieder was gelernt. Grüße ag1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.