Problem mit AD Replikation und Authentifizierung

[Jack Bauer 10]

Hallo zusammen,

 

ich habe mehrere Fehler im Netzwerk, die aber zusammenhängen könnten. Zunächst mal die Struktur:

 

2 Domänen: eins.de und zwei.eins.de

 

Domäne zwei beinhaltet 2 DCs (einer davon ist PDC/RID/Inf., der andere GC), mehrere Memberserver und alle Clients. Domäne eins beinhaltet 2 DCs: MAIL1 und MAIL2. MAIL1 ist Schema- und Domänennamenmaster, GC und außerdem Exchange-Server. Der andere ist PDC/RID/Inf.-Master. Beide Domänen haben transitive bidirektionale Vertrauensstellungen.

 

Nun zu den Fehlern:

 

1.) Outlook (auf Clients in Domäne zwei) kann sich nicht mehr mit dem Exchange-Server (MAIL1 in Domäne eins) verbinden. Nach Umstellung von Kerberos- auf NTLM-Authentifizierung funktionierte es wieder.

 

2.) Schema- und Domänennamenmaster FSMOs können nicht übertragen werden. Fehlermeldung: "Die Betriebsmasterfunktion konnte nicht übertragen werden. Ursache: Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar."

 

3.) Im Eventlog von MAIL1 steht, dass der GC nicht erreichbar sei: "Active Directory konnte keine Verbindung mit dem globalen Katalog herstellen." Doch der GC liegt auf dem Server selbst.

 

4.) Möchte ich manuell von einem DC aus Domäne zwei auf einen DC in Domäne eins replizieren, ist der Zugriff verweigert.

 

5.) Möchte ich manuell von einem DC aus Domäne eins auf den anderen DC in der gleichen Domäne replizieren, funktioniert dies auch nicht. DCDIAG sagt dazu: "Der Quellserver nimmt zurzeit keine Replikationsanforderungen entgegen." und "Replication has been explicitly disabled through the server option.".

 

Ich hoffe, dass mir jemand einen Denkanstoß geben kann, ich danke Euch schon einmal vorab!

 

Frohe Ostern!

 

Jack

[gogo_sven 10]

erreichbarkeit ist sichergestellt ? Keine Firewall ? Oder evtl. def. Verkabelung bzw. Switch ?

Sorry hatte nicht richtig gelesen....

[Jack Bauer 10]

Hallo Sven,

 

definitiv keine Netzwerk- oder Firewallprobleme. Aber folgendes fiel mir gerade ein:

 

Es wurde ein neuer Server zu einem DC einer neuen Domäne, sagen wir drei.de, hochgestuft. Dieser befand sich im gleichen Subnetz wie die Anderen, war aber nicht durch Trusts oder ähnliches verbunden. Dieser war Master aller FSMOs in seiner neuen Domäne. Dieser Aufbau war nur zu Versuchszwecken und er wurde wieder heruntergestuft und entfernt.

 

Kann es sein, dass der Domänennamenmaster deshalb jetzt "offline" ist und nicht übertragen werden kann, weil zeitweise zwei im gleichen Subnetz waren?

 

Nur so eine Idee...

 

Jack

[gogo_sven 10]

Also ich würde mal nein sagen, weiß es aber auch nicht ganz genau.

 

Hast du mal geschaut was ntdsutil dazu sagt ?

 

Hat er wirklich nicht mehr die FSMO und kannst du ihm die evtl. wieder geben mit seizen ?

[Jack Bauer 10]

Hallo Sven,

 

ich kann meinem MAIL1 per NTDSUTIL (transfer domain naming master) diese Schemarolle wieder in Erinnerung rufen. Quasi ein Transfer an sich selbst. Im AD wird dann zwar immer noch offline angezeigt, doch läßt sich die Rolle an den MAIL2 übertragen.

 

Auf dem MAIL2 habe ich aber nun die gleiche Ausgangssituation: Der FSMO-Inhaber wird als offline dargestellt und die Rolle läßt sich nicht übertragen.

 

Ich nehme an, dass die letzte Replikation schon etwas hin ist. Sollte ich vielleicht da ansetzen? Aber wie?

 

Danke für Deine Hilfe!

 

Jack

[Jack Bauer 10]

Hallo zusammen,

 

das Problem ist gelöst. Der alleinige Grund war, dass der MAIL2 nicht replizierte. Die Eingabe des Befehls "repadmin /options MAIL2" brachte folgende Ausgabe:

 

Current DC Options: DISABLE_INBOUND_REPL DISABLE_OUTBOUND_REPL

 

Nach der Eingabe von "repadmin /options MAIL2 -disable_inbound_repl" und "repadmin /options MAIL2 -disable_outbound_repl" und erneuter Abfrage kam folgende Ausgabe:

 

Current DC Options: (none)

 

Jetzt funktioniert wieder alles und so solls auch bleiben... :D

 

Danke Sven!

 

 

Jack

[gogo_sven 10]

schön...