Jump to content
Sign in to follow this  
ChristineJ

Replikationsproblem von zwei Windows 2k3 Servern auf VMWare Server 2

Recommended Posts

Hallo!

 

So, ich fürchte, ich muss etwas weiter ausholen, um mein Problem umfassen zu erklären, wobei ich nicht genau weiß, welche Punkte meiner Erklärung überhaupt Relevanz hat, aber wir werden sehen.

 

Wir haben eine Testdomäne mit 2 DC.

DC1: Windows 2003 x64 Server mit Active Diretory, DNS, IIS und Exchange 2007

DC2: Windows 2003 x86

 

Seit einiger Zeit scheint die Replikation zwischen beiden Systemen nicht mehr zu funktionieren. Mir ist das aufgefallen, als ich einen neuen Dienst auf DC2 installiert habe und den Dienst nicht als 'lokales System' sondern, unter einer selbstangelegten Benutzerkennung laufen lassen wollte. Als unter "Anmelden" versuchte meinen neuen Benutzer auszuwählen, bekam ich immer die Nachricht "Zugriff verweigert".

Ich konnte mir das nicht erklären und habe dann auf beiden Systemen die Support Tools installiert.

 

Dort habe ich dcdiag.exe aufgerufen und festgestellt, dass die Replikation auf DC1 schon seit dem 10.11. nicht mehr ging und auf DC2 seit dem 16.11.

Das fällt in einen Zeitraum in dem wir die beiden DCs mit VMWare virtualisiert haben.

Wir hatten mit dem entsprechenden Tool von VMWare Images von beiden Servern gezogen und dann auf VMWare Server v.2 laufen lassen.

 

Das schien auch ganz gut funktioniert zu haben. Mir war nur eine Sache aufgefallen, nämlich dass die Netzwerkeinstellungen nicht mehr da waren.

Ich habe mir nichts dabei gedacht und die beiden Karten neu konfiguriert.

Dabei fiel auf eine Meldung auf, die gesagt, dass ein versteckter Netzwerkadapter bereits diese IP habe und dass es Probleme geben könne, falls dieser aktiv würde. Ob ich dennoch diese IP verwenden wolle. Ich habe dies bejaht da ich den alten Netzwerkadapter auch im Gereätemanager nicht sehen kann, auch wenn ich 'versteckte Geräte anzeigen" aktiviert habe.

 

Als ich nun die Replikationspobleme bemerkte habe ich überlegt, ob das wohl doch etwas mit dieser Sache zu tun haben kann und habe beiden DCs eine neue IP gegeben. Im DNS auf DC1 habe ich an allen Stellen an denen ich die alten IPs sehen konnte, die neuen IPs eingetragen.

Das hat aber auch nichts geändert. Höchstens alles noch schlimmer gemacht, weil ich jetzt nicht mal mehr die Benutzerverwaltung auf DC2 aufrufen kann.

Dort heißt es jetzt nur noch "Es konnten aufgrund des folgenden Problems keine Namensinforamtionen gefunden werden: Der Zielprinzipalname ist falsch. Wenden Sie sich an den Systemadministrator, um sicher zu stellen, dass Ihre Domäne richtig konfigutriert und online ist."

 

In der Ereignisanzeige sieht man immer den Fehler userenv 1054 (der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden...)

und mittlerweile auch userenv 1006 (Es konnte keine Verbindung mit der Domäne XYZ.local hergestellt werden...)

Dazu noch ein userenv 1030 der nochmal in etwas das Gleiche besagt.

Außerdem bekomme ich Kerberos Fehler und Fehler vom Exchange.

 

"Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/exchange07.XYZ.local" empfangen. Der verwendete Zielname war XYZ\EXCHANGE07$. Dies deutet darauf hin, dass das Kennwort, das zum Verschlüsseln des Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen im Zielbereich (XYZ.LOCAL) und dem Clientbereich. Wenden Sie sich an den Systemadministrator."

 

Wegen dieses Fehler und weil netdiag auf DC2 gesagt hat "Secure Channel to domain 'XYZ' is broken habe ich die Kerberosdienst auf beiden DCs angehalten und mit 'netdom resetpwd' das Passwort neu gesetzt. Ich hatte in mehreren Foren gelesen, dass das helfen kann. Das scheint aber nichts gebracht zu haben.

Bei netdiag auf DC2 sagt er außerdem DC list test: failed

 

Habe ich ein Problem mit dem RPC Dienst oder kann es sein, dass nur mein DNS völlig verstellt ist? Würde es was bringen, bzw. kann ich überhaupt den DNS nochmal neu installieren?

Share this post


Link to post

Ich habe hier von jedem DC ein dcdiag.log und ein netdiag.log.

Davon kann ich Auszüge posten. Ich habe außerdem für beide DCs einen externen ntp-server konfiguriert, so dass die Zeit auf beiden DCs eigentlich gleich sein sollte.

Ich weiß irgendwie nicht, wie ich jetzt weitermachen soll.

Ich habe einen MS Artikel gefunden "Troubleshooting RPC Endpoint Mapper errors using Windows 2003 Supoort Tools from the product CD". Dort finde ich auch ein paar der Fehler von denen, die ich hier habe.

Ich bin mir halt nur nicht sicher, dass es am RPC liegt und als Beseitungungsmaßnahme soll man dort an der Registry rumändern. Etwas dass ich lieber vermeiden würde.

 

Ich glaube auch immernoch, dass es irgendwie am DNS liegen muss. Weiß aber nicht wo ich was nachgucken könnte, da ich mich mit dem DNS so gut wie nicht auskenne.

Was ich jetzt nochmal machen werde ist die IP Adressen wieder auf die Ausgangswerte zurück zu ändern, da das alles offensichtlich nur noch schlimmer gemacht hat.

 

Kennt sich hier jemand mit dieser Thematik aus und kann mir weiterhelfen?

Ich weiß eben auch nicht, in wiefern der Umzug auf die VMWare relevant ist oder ob das eigentlich völlig irrelevant ist.

 

Viele Grüße,

Christine

Share this post


Link to post

Mittlerweile habe ich die IPs wieder zurück geändert und die Fehlermeldung auf DC2 wenn ich dcdiag aufrufe hat sich geändert. Dort steht jetzt doch, dass etwas mit dem DNS Eintrag für den DC2 nicht stimmt.

 

Ich habe hier mal die Logs, die dcdiag und netdiag auf beiden DCs geschrieben haben.

Leider sind die viel zu lang um sie hier in einen einzelen Post packen zu können.

Ich werde sie daher in den Anhang packen.

 

Vielleicht kann mir damit ja jemand helfen.

Das wäre echt super nett.

 

Ich wünsche einen schönen Nikolaustag allerseits :)

 

Viele Grüße,

Christine

dcdiag-netdiag-logs.txt

Share this post


Link to post

Hallo Christine, schön dass du zu uns gefunden hast.

 

Nachdem ich deinen sehr ausführlichen Text gelesen habe, gestatte mir ein paar Fragen (welche ohne Wertung und nur zum besseren Verständnis der Situation zu verstehen sind):

 

Wie gut kennst du dich mit Windows Server Systemen, DNS, Virtualisierung und VM Ware aus?

 

Wer hat die Virtualisierung vorgenommen?

 

Wie kritisch ist es dass die Testumgebung nicht mehr richtig arbeitet?

 

Was war Ziel der Aktion?

Share this post


Link to post

Hallo !

 

Also ich kenne mich einigermaßen mit Windows Server Systemen aus denke ich. Ich habe mich seit 1999 immer wieder damit beschäftigt, ein paar Mal ein AD eingerichtet, User und Gruppen angelegt, auch mal die Default Password Policy angepasst, usw.

Allerdings waren das meistens Testumgebungen und keine Systeme auf denen dauernd User unterwegs waren.

 

In dieser Testumgenung prüfe ich das Zusammenspiel zwischen Novell eDirectory und dem AD. Dafür habe ich mit dirXML Script einen Connector angepasst. Mein momentanes Anliegen war bestimmte Änderungen zu testen, die gemacht werden mussten, damit man mit dem Connector bei einer Userneuanlage auch eine Exchange 2007 Mailbox erzeugen kann. Dort hatte sich wegen der PowerShell anscheinend einiges geändert, so dass der Mechanismus ganz anders ist, als er noch bei Exchange 2003 war.

Von Novell gibt es daher auch einen neuen Dienst (IDM_AD_Ex2007) der die Mailboxen letzlich anlegt.

Man kann diesen Dienst auch auf einem DC laufen lassen, auf dem der Exch2007 nicht installiert ist. Für den Fall wollte ich testen, welche Rechte dieser Dienst benötigt, da eine Anmeldung als "lokales System" nicht auszureichen schien". Der User wurde zwar angelegt, aber keine Mailbox. Das ging nur, wenn ich den Dienst unter "Administrator" laufen lies.

Unsere Firma hat sehr viele Standorte und wir bieten der lokalen IT dort diese Novell eDirectory -> Active Directory Connectoren an. Viele IT-Manager der lokalen IT würden mir vermutlich zu Recht einen Vogel zeigen, wenn ich denen erzählen würde, sie müssen den Dienst als Admin laufen lassen ;)

Deshalb wollte ich ausprobieren, welche Rechte der Dienst tatsächlich benötigt und stiegt dann darauf, dass ich dem Dienst auf diesem Server nur Built-In Accounts zur Anmeldung zuweisen konnte, aber keinen selbst angelegten, da ich dann immer die Meldung "Zugriff verweigert" bekam.

 

Die Images der beiden Server habe ich mit dem VMWare Converter gezogen und dann unserem Hiwi rübergeschoben. Dieser hat sie dann in den VMWare Server eingebunden.

 

Mit dem Windows DNS muss ich gestehen, kenne ich mich fast gar nicht aus. Wir haben den in unseren Testumgebungen eigentlich immer nur installiert und dann so gelassen wie er war.

Ich habe gesehen, dass er sich dort für den zweiten DC anscheinend eine falsche GUID gemerkt hat. Ich habe daher versucht die GUID des Server herauszufinden, habe dort jedoch zwei gefunden und wusste jetzt nicht welche die Richtige ist. Ich habe am Freitag mal eine davon in den falschen DNS Eintrag unter _msdcs. eingetragen, bekomme aber mit dcdiag in der Fehlermeldung aber immernoch die alte GUID gesagt.

 

Was soll das bringen bei den VMWare Tools die shared Folders zu deaktivieren?

Ich weiß nicht ob die an sind. Muss ich erstmal nachgucken.

Ich hab auf beiden Systemen mal die VMWare Tools gemountet.

Shared Folders ist auf beiden DCs deaktiviert.

Bringt es etwas, wenn ich den (einzigen) DNS auf DC1 deinstalliere und neuinstalliere?

Generiert er dann die DNS Einträge für die beiden DCs mit der korrekten GUID neu?

Share this post


Link to post
Bringt es etwas, wenn ich den (einzigen) DNS auf DC1 deinstalliere und neuinstalliere?

Generiert er dann die DNS Einträge für die beiden DCs mit der korrekten GUID neu?

Hallo Christine,

 

der DNS-Dienst muss nicht neu installiert werden. Du kannst den Inhalt der Zone _msdcs löschen und dann den Anmeldedienst auf den DCs neu starten. Dadurch werden die fehlenden Einträge neu angelegt.

 

Falls du die DNS-Zonen dennoch neu erzeugen möchtest: How to reinstall a dynamic DNS Active Directory-integrated zone

Share this post


Link to post

Den Artikel hatte ich schon gelesen, bevor ich meinen Beitrag aufgemacht hatte. Danke dennoch.

Es nutzt alles nichts.

Ich hab sogar nochmal mit den urspürnglichen Images der beiden Server angefangen. Da gabs 'erst' 22 Replicafehler und nciht über 600...aber trotzdem.

 

Der DNS ist schrott und nichts repiziert mehr.

Wenn ich die DNS EInträge für den DC2 lösche, werden sie nach Neustart des DNS dennoch wieder genauso wie vorher angelegt.

 

nslookup kennt nur noch DC1.

RPC funktioniert nicht, das was dort in der Anleitung für den Kerberosdienst und das Zurücksetzen des Paswortes steht habe ich xmal gemacht.

Einer der Gründe warum ich mit den Ursprungsimages heute nochmal begonnen hatte, da dabei irgendwas schief ging und man sich mit keinem Passwort mehr an DC2 als Admin anmelden konnte.

 

Ich hab jetzt DC2 ausgeschaltet und aus der Domäne in der Benutzerverwaltung gelöscht, da dcpromo auch nicht funktionierte. Jetzt frage ich mich, ob ich DC1 wohl am besten auch abstelle und neu mache, oder ob der mit einem neu aufgesetzten DC2 zusammen wohl wieder richtig funktionieren würde.

 

Ich werde mal schauen, ob der immernoch nach DC2 sucht, nach einem Neustart. Falls ja, werde ich DC1 wohl auch wegwerfen und alles nochmal neu machen.

 

Nee,nee...so ein Mist.

DC1 bekomme ich mit dcpromo auch nicht runtergestuft, weil er der Meinung ist, da wäre irgendwo noch ein zweiter DC, den ich ja nun aber abgeschaltet hatte.

Ich glaube, ich kloppe alles in die Tonne, wie man so schön sagt.

Der Reperaturversuch dauert jetzt schon viel länger als es gebraucht hätte bei DCs komplett neu aufzusetzen.

Share this post


Link to post

Hi,

 

Wir hatten mit dem entsprechenden Tool von VMWare Images von beiden Servern gezogen und dann auf VMWare Server v.2 laufen lassen.

 

wie genau sind die "Images" angefertigt worden und wie sind diese zurückgesichert worden? Ggf. bist Du in einen USN Rollback gelaufen?

 

How to detect and recover from a USN rollback in Windows Server 2003

 

Aber wie Du schon schriebst - wahrscheinlich ist es nach den ganzen Aktionen sinnvoll, die Umgebung neu aufzusetzen. Eine Testumgebung würde ich nach diesen vielen Änderungen und Rettungsversuchen nicht mehr als "vertrauenswürdig" einstufen.

 

Viele Grüße

olc

Share this post


Link to post

Danke nochmal. :)

 

ich hab jetzt allerdings wirklich beide DCs neu aufgesetzt und diesmal direkt mit dem VMWare Server 2.

 

Ich hatte den VMWare Converter auf dem jeweiligen DC für das Erstellen der Images genutzt.

Zunächst war auch nicht aufgefallen, dass dabei anscheinend irgendetwas nicht geklappt hat, weil man das so auf den ersten Blick nicht sehen konnte.

Außerdem, ich hatte zwar die neueste Version des Converters runtergeladen, aber die war nun auch nicht mehr gerade taufrisch und vor allem war in der Beschreibung die neue Version 2 des VMWare Servers nicht erwähnt, sondern nur Version 1.

 

Vielleicht weil sie eben schon was älter war.

Vielleicht kann der Converter aber auch keine Images erzeugen, die mit VMWare Server 2 korrekt laufen.

 

Wegen der ganzen "Wenns" und "Vielleichts" bei denen man auch nicht wusste, was nun eigentlich Ursache und was Wirkung ist, schien mir das Neuinstallieren schließlich das einzig Sinnvolle zu sein.

 

Trotzdem nochmal Dank an alle, die mir Hinweise gegeben haben. :)

 

Viele Grüße,

Christine

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...