Probleme mit neuen DC und Active Directoy Replikation

[markus-xm 10]

Hallo,

 

wir haben einen neuen DC mit in unsere Domäne aufgenommen.

 

Nach der Aufnahme haben wir hier ebenfalls einen DNS Server installiert und zum Testen NETDIAG ausgeführt.

 

NETDIAG.EE zeigt nun folgenden Fehler:

Domain membership test ..... : Failed

The System volume has not been completley replicated to the local machine. This machine is not working properly as a DC.

 

Woran kann das liegen, wie kann ich die Replikation durchführen bzw. überprüfen ob die überhaupt läuft und wie weit die fortgeschritten ist ?

 

 

----------------------

Das ist bisher geschehen:

1. Öffnen AD Standorte und Dienste

2. Verbindung mit dem DC (NEUERSERVER) hergestellt

3. Ausgeklappt Servers

4. Versuch bei ALTERSERVER -> NTDS-Settings -> rechte Maus Jetzt replizieren

= Fehler:

Beim Versuch dem Namenskontext "DOMAIN.local" von Domänencontroller ""NEUERSERVER" nach Domänencontroller "ALTERSERVER" zu syncronisieren, ist der folgende Fehler aufgetreten:

Der NAmenskontext wird entweder gerade entfernt oder wird nicht vom angegebenen Server repliziert.

 

5. mal umgekehrt

Versuch NEUERSERVER -> NTDS Settings -> rechte Maustaste Jetzt replizieren:

Klappt Active Directory hat die Verbindungen repliziert.

 

 

???

 

 

 

Viele Grüße

 

Markus

[NorbertFe 1.807]

Hallo,

 

wir haben einen neuen DC mit in unsere Domäne aufgenommen.

 

Nach der Aufnahme haben wir hier ebenfalls einen DNS Server installiert und zum Testen NETDIAG ausgeführt.

 

NETDIAG.EE zeigt nun folgenden Fehler:

 

 

Woran kann das liegen, wie kann ich die Replikation durchführen bzw. überprüfen ob die überhaupt läuft und wie weit die fortgeschritten ist ?

 

Viele Grüße

 

Markus

 

Poste mal ein IPConfig /all von deinem neuen und dem bestehenden DC.

 

Bye

Norbert

[phoenixcp 10]

wir haben einen neuen DC mit in unsere Domäne aufgenommen.

Ihr habt einen Server in die Domäne gejoned, der mal DC werden soll oder habt ihr schon promoted?

 

Nach der Aufnahme haben wir hier ebenfalls einen DNS Server installiert

Ist das DNS auf den anderen DC's AD-integriert?

[markus-xm 10]

Hallo,

 

also der NEUSERVER ist schon im AD promoted, mit DCPROMO.EXE

 

Der neue soll später auch als Globaler Katalog eingesetzt werden, ist es aber im Mopment noch nicht, ich möchte erst NETDIAG ohne den Fehler abschließen, bevor ich den zum Globalen Katalog mache.

 

------------------

Der ALTESERVER (DNS) ist im AD, wie kann ich das konkret überprüfen bzw. testen ?

 

------------------

ipconfig /all NEUERSERVER:

 

C:\>ipconfig /all

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : NEUERSERVER

Primäres DNS-Suffix . . . . . . . : DOMAIN.local

Knotentyp . . . . . . . . . . . . : Hybrid

IP-Routing aktiviert . . . . . . : Nein

WINS-Proxy aktiviert . . . . . . : Nein

DNS-Suffixsuchliste . . . . . . . : DOMAIN.local

 

Ethernet-Adapter WAN DMZ DLINK :

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Intel 21140-basierter PCI-Fast Ethernet-A

dapter (Standard) #2

Physikalische Adresse . . . . . . : 00-15-5D-01-14-07

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.178.20

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 192.168.1.100

 

Ethernet-Adapter LAN Intel 1000:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Intel 21140-basierter PCI-Fast Ethernet-A

dapter (Standard)

Physikalische Adresse . . . . . . : 00-15-5D-01-14-06

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.1.101

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.1.100

DNS-Server . . . . . . . . . . . : 192.168.1.100

Primärer WINS-Server . . . . . . : 192.168.1.100

 

C:\>

 

 

------------------

ipconfig /all ALTERSERVER:

 

C:\>ipconfig /all

 

Windows-IP-Konfiguration

 

Hostname . . . . . . . . . . . . : ALTERSERVER

Primäres DNS-Suffix . . . . . . . : DOMAIN.local

Knotentyp . . . . . . . . . . . . : Unbekannt

IP-Routing aktiviert . . . . . . : Ja

WINS-Proxy aktiviert . . . . . . : Ja

DNS-Suffixsuchliste . . . . . . . : DOMAIN.local

 

Ethernet-Adapter LAN-Verbindung des Servers:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit Ether

net NIC

Physikalische Adresse . . . . . . : 00-0D-61-44-EC-7E

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.1.100

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

DNS-Server . . . . . . . . . . . : 192.168.1.100

Primärer WINS-Server . . . . . . : 192.168.1.100

 

Ethernet-Adapter WAN-Verbindung:

 

Verbindungsspezifisches DNS-Suffix:

Beschreibung . . . . . . . . . . : VIA Rhine II Fast Ethernet Adapter

Physikalische Adresse . . . . . . : 00-0D-61-44-EC-2E

DHCP aktiviert . . . . . . . . . : Nein

IP-Adresse. . . . . . . . . . . . : 192.168.178.10

Subnetzmaske . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.178.1

DNS-Server . . . . . . . . . . . : 192.168.1.100

Primärer WINS-Server . . . . . . : 192.168.1.100

NetBIOS über TCP/IP . . . . . . . : Deaktiviert

 

C:\>

 

 

 

Der alte Server stellt derzeit noch die Internetverbindung her.

Auf Netzlaufwerke des alten Servers kann problemlos zugegriffen werden.

Auch läßt sich der alte DC vom neuen anpingen. Andernfalls wäre auch die integration mit DCPROMO in die Domäne gescheitert. ...

 

???

[NorbertFe 1.807]

Der alte Server stellt derzeit noch die Internetverbindung her.

 

Ürgs. Hast du keinen Router?

Schau mal nach, ob es funktioniert, wenn du die WAN-NIC mal deaktivierst. Überprüfe, ob die Bindungsreihenfolge korrekt ist (LAN ganz oben).

 

Auch läßt sich der alte DC vom neuen anpingen. Andernfalls wäre auch die integration mit DCPROMO in die Domäne gescheitert. ...

 

Wie lange wartest du denn schon auf die erfolgreiche Sync?

 

Läuft eventuell ein Virenscanner/Firewall auf einem der DCs?

 

Bye

Norbert

[markus-xm 10]

Hallo,

 

Ürgs. Hast du keinen Router?

doch die IP vom Router ist ja 192.168.178.1.

 

Der alte DC hat 2 Netzwerkarten, dennoch ist der alte DC derzeit Standardgateway und DNS den neuen. Später soll der neue DC genau so mit dem Router verbunden werden wie momentan der alte.

 

Schau mal nach, ob es funktioniert, wenn du die WAN-NIC mal deaktivierst.

Ich habe nun die Verbindung WAN DMZ DLINK auf dem neuen Server deaktiviert.

 

Wie lange wartest du denn schon auf die erfolgreiche Sync?

Insgesamt warte ich schon mindestens 1 Stunde auf die erfolgreiche Replikation, kann aber keinen größeren Netztraffic zwischen den Maschinen beobachten

 

Läuft eventuell ein Virenscanner/Firewall auf einem der DCs?

Auf dem alten DC läuft Kaspersky Antivirus. Auf dem neuen noch nichts. Kaspersky war und ist aber die ganze Zeit schon deaktiviert.

 

Nach dem ich mal wieder NETDIAG auf dem neuen Server ausgeführt habe - wieder die gleiche Fehlermeldung wie oben im Beitrag 1.

 

Kann man irgendwo sehen wie lange die Sync noch dauerd, bzw. wie weit die ist ?

 

Aber es kommt ja ein Fehler beim Anstoßen der manuellen Sync, siehe ersten Beitrag oben.

 

???

 

Gruß

 

Markus

[markus-xm 10]

Hier mal mein Ergebnis aus DCDIAG auf dem neuen DC:

 

Teil1:

 

C:\>DCDIAG

 

Domain Controller Diagnosis

 

Performing initial setup:

Done gathering initial info.

 

Doing initial required tests

 

Testing server: Standardname-des-ersten-Standorts\NEUERSERVER

Starting test: Connectivity

......................... NEUERSERVER passed test Connectivity

 

Doing primary tests

 

Testing server: Standardname-des-ersten-Standorts\NEUERSERVER

Starting test: Replications

REPLICATION LATENCY WARNING

ERROR: Expected notification link is missing.

Source ALTERSERVER

Replication of new changes along this path will be delayed.

This problem should self-correct on the next periodic sync.

REPLICATION LATENCY WARNING

ERROR: Expected notification link is missing.

Source ALTERSERVER

Replication of new changes along this path will be delayed.

This problem should self-correct on the next periodic sync.

REPLICATION LATENCY WARNING

ERROR: Expected notification link is missing.

Source ALTERSERVER

Replication of new changes along this path will be delayed.

This problem should self-correct on the next periodic sync.

......................... NEUERSERVER passed test Replications

Starting test: NCSecDesc

......................... NEUERSERVER passed test NCSecDesc

Starting test: NetLogons

Unable to connect to the NETLOGON share! (\\NEUERSERVER\netlogon)

[NEUERSERVER] An net use or LsaPolicy operation failed with error 1203, Der

angegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen..

......................... NEUERSERVER failed test NetLogons

Starting test: Advertising

Warning: DsGetDcName returned information for \\alterserver.DOMAIN.

local, when we were trying to reach NEUERSERVER.

Server is not responding or is not considered suitable.

......................... NEUERSERVER failed test Advertising

Starting test: KnowsOfRoleHolders

......................... NEUERSERVER passed test KnowsOfRoleHolders

Starting test: RidManager

......................... NEUERSERVER passed test RidManager

Starting test: MachineAccount

......................... NEUERSERVER passed test MachineAccount

Starting test: Services

......................... NEUERSERVER passed test Services

Starting test: ObjectsReplicated

......................... NEUERSERVER passed test ObjectsReplicated

Starting test: frssysvol

......................... NEUERSERVER passed test frssysvol

Starting test: frsevent

There are warning or error events within the last 24 hours after the

SYSVOL has been shared. Failing SYSVOL replication problems may cause

Group Policy problems.

......................... NEUERSERVER failed test frsevent

Starting test: kccevent

......................... NEUERSERVER passed test kccevent

Starting test: systemlog

......................... NEUERSERVER passed test systemlog

Starting test: VerifyReferences

......................... NEUERSERVER passed test VerifyReferences

[markus-xm 10]

Teil 2:

Running partition tests on : ForestDnsZones

Starting test: CrossRefValidation

......................... ForestDnsZones passed test CrossRefValidation

 

Starting test: CheckSDRefDom

......................... ForestDnsZones passed test CheckSDRefDom

 

Running partition tests on : DomainDnsZones

Starting test: CrossRefValidation

......................... DomainDnsZones passed test CrossRefValidation

 

Starting test: CheckSDRefDom

......................... DomainDnsZones passed test CheckSDRefDom

 

Running partition tests on : Schema

Starting test: CrossRefValidation

......................... Schema passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... Schema passed test CheckSDRefDom

 

Running partition tests on : Configuration

Starting test: CrossRefValidation

......................... Configuration passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... Configuration passed test CheckSDRefDom

 

Running partition tests on : DOMAIN

Starting test: CrossRefValidation

......................... DOMAIN passed test CrossRefValidation

Starting test: CheckSDRefDom

......................... DOMAIN passed test CheckSDRefDom

 

Running enterprise tests on : DOMAIN.local

Starting test: Intersite

......................... DOMAIN.local passed test Intersite

Starting test: FsmoCheck

......................... DOMAIN.local passed test FsmoCheck

 

C:\>

[Daim 12]

Bonjour,

 

Beim Versuch dem Namenskontext "DOMAIN.local" von Domänencontroller ""NEUERSERVER" nach Domänencontroller "ALTERSERVER" zu syncronisieren, ist der folgende Fehler aufgetreten:

Der NAmenskontext wird entweder gerade entfernt oder wird nicht vom angegebenen Server repliziert.

 

ein völlig normaler Zustand. Nach dem Heraufstufen dauert eben die Erstreplikation seine Zeit. Du musst dich lediglich gedulden.

 

Aber abgesehen davon, sind "multihomed-DCs" besonders unschön. Wenn möglich, solltest du eine NIC ausbauen/deaktivieren. Wenn du im Internet nach "multihomed DC" suchst, wirst du auf vieles an Fehlverhalten treffen, die ein DC mit mehreren NICs hevorrufen kann.

 

Der neue DC sollte natürlich in seinen TCP/IP-Einstellungen einen bestehenden (den alten DC?) als DNS-Server eingetragen haben. Wenn die FLZ AD-integriert gespeichert ist, erledigt die AD-Replikation für dich den Rest. Solange die FLZ nicht auf dem neuen DC repliziert wurde, brauchst du auch kein DCDIAG oder NetDIAG ausführen. Erst muss die AD-Replikation abgeschlossen sein.

[markus-xm 10]

Hallo,

 

Solange die FLZ nicht auf dem neuen DC repliziert wurde, brauchst du auch kein DCDIAG oder NetDIAG ausführen. Erst muss die AD-Replikation abgeschlossen sein.

 

Ich bin derzeit immer noch der Ansicht, das das System die Replikation gar nicht ausführt. Kann ich das testen ?

 

Es läuft mittlerweile bestimmt 4 Stunden. Wie lange soll das denn noch dauern. Ich würde fast behaupten in der Zeit die Einstellungen der Domain manuell neu aufsetzen zu können.

 

Kannst du mir sagen ob es möglich ist zu überprüfen ob die Replikation überhaupt im Gange ist bzw wie weit diese fortgeschritten ist.

 

Ich gehe mal leihenhaft davon aus das bei einer Replikation Traffic Last im Netzwerk spürbar ist. Davon bemerke ich aber nicht viel.

 

???

 

Gruß

 

Markus

[grizzly999 11]

Der alte DC hat 2 Netzwerkarten, dennoch ist der alte DC derzeit Standardgateway und DNS den neuen

Nein, hat er defacto nicht, Stichwort ICMP-Redirect ;) Deshalb: ein wenig Mumpf-Einstellung, das .....

 

Und DCs in dieser Weise Multihomed machen ist nicht besonders glücklich und suboptimal. Vielleicht liegt da ja auch das mögliche Problem. Ist von hier aus schwer auszumachen. Kannst du es mal auf beiden Rechnern ohne das 178er Netz versuchen?

 

Ist auf dem alten DC eine Firewall an, möglicherweiseauf der 178er Karte?

 

grizzly999

–

Hallo,

 

 

 

Ich bin derzeit immer noch der Ansicht, das das System die Replikation gar nicht ausführt. Kann ich das testen ?

 

Ja, du schaust ins Log, da wirst du Fehler finden, dass er nicht repliziert hat.

Außerdem gibt es das Tool replmon in den Support Tools (und repadmin).

 

Gibt es denn auf beiden DCs in Standorte und Dienste für den jeweiligen Partner ein ReplikationsVerknüpfungsobjekt?

 

grizzly999

[markus-xm 10]

Hallo,

 

habe nun auch auf dem ersten ALTEN DC die 2te Netzwerkkarte deaktiviert.

 

Dennoch keine Besserung.

 

Im LOG sind Fehlermeldungen das die Replikation nicht ausgeführt werden aknn und das es später erneut versucht wird. Ereignis 13508

 

----

Auffallend ist das der aLTESERVER keinen PING auf den NEUENSERVER machen kann. es wird zwar die IP richtig aufgelöst, jedoch kommt der PING nicht an ... Zeitüberschreitung, obwohl der neue Server kein Firewall oder ähnliches eingeschaltet hat.

 

Ein Ping vom neuen auf den alten klappt.

 

Gruß

 

Markus

[NorbertFe 1.807]

Auffallend ist das der aLTESERVER keinen PING auf den NEUENSERVER machen kann. es wird zwar die IP richtig aufgelöst, jedoch kommt der PING nicht an ...

 

Dann kannst du aber lange warten. Finde raus,woran das liegt.

 

Zeitüberschreitung, obwohl der neue Server kein Firewall oder ähnliches eingeschaltet hat.

 

Ein Ping vom neuen auf den alten klappt.

 

Überprüfe, ob der Firewalldienst auf dem neuen DC auf deaktiviert gestellt ist.

Hatte ich auch schon, dass sich das Ding wieder aktivierte.

Bye

Norbert

[grizzly999 11]

Dann kannst du aber lange warten. Finde raus,woran das liegt.

 

Full ACK!

 

 

 

Überprüfe, ob der Firewalldienst auf dem neuen DC auf deaktiviert gestellt ist.

Hatte ich auch schon, dass sich das Ding wieder aktivierte.

Bye

Norbert

Und wenn das ok. ist, dann überprüfe die Arp-Caches. Danach nimm einen Sniffer in die Hand und schau, wohin der eine Server den ICMP schickt, und was am anderen Server ankommt. Und ob er ein ECHO-Reply rausschickt, und wenn ja, wohin.

 

 

grizzly999