Alle DC heruntergefahren, Start des ersten DC dauert sehr lange

[Basti1983 10]

Hallo zusammen,

 

vergangenes Wochenende habe ich wegen größeren Wartungsarbeiten an der Strom-Infrastruktur alle 4 DC´s (2x W2k3, 2x W2k3R2) heruntergefahren.

Beim Hochfahren das der Schock, der erste DC (die anderen 3 waren zu diesem Zeitpunkt noch aus) hat über 20 Minuten für´s Booten gebraucht. Er hing ewig bei "Netzwerkverbindungen werden vorbereitet" bzw. "Computereinstellungen wurden übernommen". Zusätzlich sind einige Services wie das Kerberos-Schlüsselverwaltungscenter nicht gestartet worden. Das Problem ist mittlerweile gelöst, alles hat sich nachdem die anderen DC´s gestartet wurden wieder "ingependelt", auch bootet der erste DC wieder relativ schnell.

 

Damit das nicht mehr vorkommt möchte ich natürlich auch eine Lösung was ich tun kann damit der DC start nicht mehr so lange dauert wenn die komplette Infrastruktur heruntergefahren wurde.

Gibt´s da n Whitepaper o.ä. von Microsoft hierzu? Habe nix finden können.

 

Das gleiche Scenario hat man ja auch bei einem Stromausfall....

[djmaker 95]

Ich trage bei DCs den Hostnamen in die Hosts-Datei unter

 

C:\windows\system32\drivers\etc\hosts

 

ein. Da der Server beim Auflösen eines Namens zuerst in diese Datei und dann in das DNS schaut gibt es die Chance das er seinen eigenen Namen auflösen kann.

[Basti1983 10]

Die Idee hat was. Du meinst nur den eigenen Namen?

So etwas in der Richtung habe ich mir auch schon überlegt gehabt das er sich selbst nicht auflösen konnte -> steht aber nichts im Eventlog

[lefg 276]

Das mit dem Eintrag in der Hosts ist zwar ein schöneer Trick, trozdem liegt eine gehörige Macke vor; diese sollte beseitigt werden, nicht umgangen.

[Basti1983 10]

Die Frage ist was er für ne Macke hat, das Eventlog gibt nicht viel her (siehe unten). Könnte es der Fehler ganz unten sein? Das der Kerberot Dienst nicht rechtzeitig hochgekommen ist und somit alles länger gedauert hat? Was könnte man hier noch tun?

Ist es von MS überhaupt vorgesehen das alle DC´s der Domäne heruntergefahren werden können/sollen?

 

 

Eventlog - Anwendungslog

 

Warnung 1

Ereignistyp: Warnung

Ereignisquelle: MSDTC

Ereigniskategorie: SVC

Ereigniskennung: 53258

Datum: 19.07.2009

Zeit: 21:52:44

Benutzer: Nicht zutreffend

Computer: DC01

Beschreibung:

MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1280

No Callstack,

CmdLine: C:\WINDOWS\system32\msdtc.exe

 

 

Warnung 2

Ereignistyp: Warnung

Ereignisquelle: MSDTC

Ereigniskategorie: SVC

Ereigniskennung: 53258

Datum: 19.07.2009

Zeit: 21:52:44

Benutzer: Nicht zutreffend

Computer: DC01

Beschreibung:

MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: %1

 

 

 

 

 

Eventlog - System

 

Ereignistyp: Warnung

Ereignisquelle: LSASRV

Ereigniskategorie: SPNEGO (Vermittlung)

Ereigniskennung: 40960

Datum: 19.07.2009

Zeit: 21:52:56

Benutzer: Nicht zutreffend

Computer: DC01

Beschreibung:

Das Sicherheitssystem hat einen Authentifizierungsfehler für den Server ldap/DC01 festgestellt. Der Fehlercode des Authentifi- zierungsprotokolls Kerberos war "Es stehen momentan keine Anmeldeserver zur Verfügung, um die Anmeldeanforderung zu verarbeiten.

(0xc000005e)".

[Daim 12]

Servus,

 

Das Problem ist mittlerweile gelöst, alles hat sich nachdem die anderen DC´s gestartet wurden wieder "ingependelt", auch bootet der erste DC wieder relativ schnell.

 

das Verhalten kenne ich. Aber zuerst, man darf eben nicht alle DCs einer Domäne gleichzeitig ausschalten. Das macht man einfach nicht. Wenn es aber aus Wartungsgründen sein muss, sollte man in den TCP/IP-Einstellungen der DCs einen anderen DC der evtl. an einem anderen AD-Standort steht und der das DNS installiert hat, als primären DNS-Server eintragen.

 

Falls kein weiterer zur Verfügung steht und tatsächlich alle DCs der Domäne heruntergefahren werden müssen, musst du mit diesem Verhalten leben.

[Basti1983 10]

Das mit dem 2ten Standort kommt auf jeden Fall, hatte ich fest vor :)

 

Dann dürfte das ganze Problem ja nicht mehr auftauchen, right?

[Daim 12]

Dann dürfte das ganze Problem ja nicht mehr auftauchen, right?

 

Nicht mehr so wie du es erlebt hattest. Dann kommt es eben auf die VPN-Verbindung zu dem Standort an, wie die Performance ist. Aber keineswegs dauert es dann erneut 20 Minuten. Das geht definitiv schneller.

[djmaker 95]

. . . deswegen schrieb ich ja den Weg mit der Hosts-Datei. Selbstverständlich sollte das nicht zur Umgehung vorhandener Probleme dienen. Sofern alle DCs down sind ist das aus meiner Sicht der einzige gangbare Weg.

 

Ansonsten gilt:

 

Experts haben immer-meistens-oft-manchmal-vielleicht recht. :D

[lefg 276]

Ich gestehe, mein Beitrag war nicht hilfreich. Ich bitte um Entschuldigung.

[phoenixcp 10]

Sofern alle DCs down sind ist das aus meiner Sicht der einzige gangbare Weg.

Sofern mangels weiterer Standorte wirklich mal alle DC's aus Wartungsgründen heruntergefahren werden müssen, sollte es ansich auch kein größeres Problem sein, zu warten. Das ist dann halt so. Von dem HOSTS-Trick halte ich persönlich nicht viel, denn auch der kann u.U. bei späteren Fehlersuchen wieder zu Verwirrungen führen.

[NilsK 2.795]

Moin,

 

vielleicht könnten wir zur Abwechslung einfach mal darüber sprechen, wie denn DNS beim TO konfiguriert ist. 20 Minuten sind auch dann sehr lang, wenn der DC während des Bootvorgangs der einzige ist.

 

Also: Wie ist DNS auf dem DC und allgemein konfiguriert?

 

faq-o-matic.net Was muss ich beim DNS fr Active Directory beachten? (Reloaded)

 

(Um auch noch meinen Senf zur HOSTS-Datei zu geben: Nein, das tut man nicht. Das kann nicht nur zu Problemen beim Troubleshooting führen, sondern erfahrungsgemäß wird es dazu führen.)

 

Gruß, Nils