AD-Repl Probleme

[italianstallion 11]

Hallo Zusammen,

 

gerne würde ich euch heute von meinem aktuellen Problem erzählen, leider weiss ich nicht wo anfangen, da es einige/viele Probleme sind.

 

Ich versuchs erstmal mit Infos:

 

- AD mit 3 DCs im Domänenfunktionsmodus "win 2000 gemischt" und Gesamtstrukturfunktionsebene "win 2000"

 

- DC01 trägt im Moment alle 5 FSMOs, alle drei DCs sind GC

 

- Ein alter DC "server01" wurde von meinem Kollegen neu installiert ohne ihn vorher mit dcpromo herunterzustufen

-> Jedoch hat er sein Computerkonto und einige Einträge im DNS zB unter "_msdcs", "_sites" usw. manuell rausgelöscht

- Nun kann ich server01 zB noch in ADSIEdit im Domänencontainer in den NTDSSettings sehen

 

- Als mein Kollege bemerkt hat, dass auf DC01 erstellte Gruppen, user und Computer nicht auf die anderen beiden DCs repliziert werden hat er die Objekte auf einem der anderen DCs erstellt. Vermutlich um die Wahrscheinlichkeit bei der Anmedung einen funktionierenden %LOGONSERVER% zu bekokmmen, zu erhöhen

 

Fakt ist im Moment, dass ich folgende Fehler und Warnungen im Eventlog Verzeichnisdienst auf DC01 bekomme:

1988

1925

Im Dateireplikation Eventlog den berühmten 13562

 

Ich habe bereits einige Artikel/Anleitungen aus Yusufs Blog durchgearbeitet und zB lingering Objects entfernt, die 3 Dcs mit dsastat verglichen (ja es gibt einige Unterschiede) und zB die AD-DB repariert, da mein treuer Kollege (AIX-Admin ;) ) den DC01 in 3 Tagen ca. 15-20x hat abstürzen lassen!

 

Mein Ziel ist es nun (denke ich) die 3 AD-DBs erstmal wieder gleich zu ziehen um dann die ReplikationsFehler weg zu bekommen!

 

Eine meiner Fragen ist nun, ob die DB eines aktuellen DCs dem DC01 aufgezwungen werden kann, damit sie einen gleichen Stand haben?

 

Danke für jeden Tipp, den ich befolgen kann!

 

Bin mir im Moment gar nicht sicher was mein Problem ist, vermute aber dass der DC01 aus welchem Grund auch immer keine Replikationsversuche von den anderen DCs antgegennimmt, da wohl seine lokale DB Objekte enthält, die die anderen beiden DCs nicht kennen. Unter anderem wird heir ständig von einem der Drucker gesprochen.

 

Ideen? :rolleyes:

 

Giuseppe

[morro 10]

Hi,

 

hase dir denn auch mal den angeschaut LDAP://Yusufs.Directory.Blog/ - Die Metadaten des Active Directory unter Windows Server 2008 bereinigen

 

und ist auf den anderen dcs das sysvol verzeichnis freigegeben? sieshtem it net share

[italianstallion 11]

Hi Morro,

 

Um ehrlich zu sein, lese ich seit 4 Tagen schon Yusufs Blog durch, aber diesen Artikel bisher noch nicht. Jetzt aber schon! :D

Die Bereinigung mit NTDSUTIl habe ich durchgeführt, mit diesem Ergebnis:

----------------------------------------------

C:\Programme\Support Tools>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: remove selected server CN=SERVER01,CN=Servers,CN=Standardname-des-ersten-tandorts,CN=Sites,CN=Configu

ration,DC=gw,DC=local

Bindung mit "localhost" ...

Eine Verbindung mit "localhost" wurde unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde hergestellt.

Die FSMO-Rollen werden vom ausgewählten Server übertragen bzw. übernommen.

FRS-Metadaten werden vom ausgewählten Server entfernt.

Die Serverreferenz auf "CN=SERVER01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=gw,DC=local" konnte nicht gefunden werden.

LDAP-Fehler 0x5e(94 (Keine Ergebnisse in der Meldung vorhanden).

)

Der Versuch die FRS-Einstellungen auf CN=SERVER01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=gw,DC=local zu löschen ist fehlgeschlagen, da die "Element nicht gefunden.";

Metadaten-Bereinigung fortgesetzt wird.

"CN=SERVER01,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=gw,DC=local" wurde vom Server

"localhost" entfernt.

----------------------------------------------

 

Das Sysvol ist auf allen drei DCs freigeben und auch erreichbar!

 

Weiter im nächsten Post!

[italianstallion 11]

Was auch seltsam ist:

Nach einem Reboot des DC01, kann ich die von meinem Kollegen angelegten Gruppen sehen, jedoch sind sie...hmmm...ca. ne halbe Stunde später wieder weg ohne einen mir ersichtlichen Eintrag im Eventlog!

 

Weitere Ideen? DCdiag /q zB spuckt folgendes aus, wobei EX01 und TSM01 die anderen beiden DCs sind. Ausgeführt hab ichs auf DC01:

-----------------------------------------------

C:\Programme\Support Tools>dcdiag /Q

[Replications Check,DC01] A recent replication attempt failed:

From TSM01 to DC01

Naming Context: DC=gw,DC=local

The replication generated an error (8606):

Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erstellen. Das Objekt ist eventuell nicht vor

handen, da es gelöscht oder in die Sammlung veralteter Objekte aufgenommen wurde.

The failure occurred at 2009-07-27 12:58:22.

The last success occurred at 2009-07-01 09:49:54.

1964 failures have occurred since the last success.

[Replications Check,DC01] A recent replication attempt failed:

From EX01 to DC01

Naming Context: DC=gw,DC=local

The replication generated an error (8606):

Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erstellen. Das Objekt ist eventuell nicht vor

handen, da es gelöscht oder in die Sammlung veralteter Objekte aufgenommen wurde.

The failure occurred at 2009-07-27 13:06:09.

The last success occurred at 2009-07-01 09:52:08.

8126 failures have occurred since the last success.

REPLICATION-RECEIVED LATENCY WARNING

DC01: Current time is 2009-07-27 13:08:20.

DC=gw,DC=local

Last replication recieved from EX01 at 2009-07-01 09:51:15.

Last replication recieved from TSM01 at 2009-07-01 09:49:54.

Warning: DsGetDcName returned information for \\tsm01.gw.local, when we were trying to reach DC01.

Server is not responding or is not considered suitable.

......................... DC01 failed test Advertising

NETLOGON Service is paused on [DC01]

......................... DC01 failed test Services

An Error Event occured. EventID: 0xC02507C4

Time Generated: 07/27/2009 12:58:22

(Event String could not be retrieved)

An Error Event occured. EventID: 0xC02507C4

Time Generated: 07/27/2009 12:58:22

(Event String could not be retrieved)

An Error Event occured. EventID: 0xC02507C4

Time Generated: 07/27/2009 13:01:12

(Event String could not be retrieved)

......................... DC01 failed test kccevent

-----------------------------------------------

 

Dass der netlogon Dienst angehalten wurde ist einer der Eventlog Meldungen vernatworlich. er lässt sich zwar manuell starten ,jedoch möchte ich vermeiden, dass einer der Clients sich an DC01 anmeldet solang er die Gruppen nicht kennt, da sonst zugriffe auf Shares scheitern würden.

 

Was ich nih ganz verstehe ist: "Warning: DsGetDcName returned information for \\tsm01.gw.local, when we were trying to reach DC01."

 

Was meint DCDIAG damit?

 

Grüße

[italianstallion 11]

Was auch seltsam ist:

In ADSIEdit ist unter Domain-Container -> Domäne -> System -> File replication Service -> Domain System Volume (SYSVOL SHare) immernoch server01.

Nach dem Aufräumen mit "ntdsutil: metadata cleanup" hätte ich das jedoch nicht erwartet.

Ist das normal? Sollte das jetzt nicht draussen sein?

[morro 10]

ISt der server01 aus "Active Directory Standort und Dienste" gelöscht? Falls nicht kann das soweit ich weiß auch zu replikationsstörungen kommen. Weil er dann versucht nochmit dem server01 zu replizieren.

[italianstallion 11]

Da isser draussen...nur noch die aktuellen 3 DCs drin!

[morro 10]

und wird der server mit ntdsutil auch nicht mit sicherheit nicht mehr im standort angezeigt? Und sind alle DNS Einträge gelöscht ...SRV Einträge CNAME,_msdcs.root-domäne, im Reiter Namenserver usw...

 

Und haben alle korrekte ip einstellungen wie DNS eingetrage die nicht merh auf den alten server01 verweisen

[morro 10]

es wurde auch kein image zurückgespielt?

[RanCyyD 10]

Hm, wenn es nocht geht:

 

- alle FSMOs an anderen Server übertragen oder auf einem DC per seize neu erstellen

- Versuchen DC01 per DCPromo zu entfernen

- Falls nicht geht, direkt mit neuem Namen installieren und sauber in Domäne nehmen

- Rollen zurück

- AD von "DC01" bereinigen

 

Denke, so wäre es am saubersten...

[italianstallion 11]

DNS Einträge definitv alle draussen....hab eben nochmal nachgesehen!

IP Einstellungen sind alle iO.

Kannst du mir die Begehlssyntax für ntdsutil nennen?

Kann nicht wirklich damit umgehen!

 

Ein Image wurde auch nich zurück gespielt!

 

Worauf willst du hinaus? Was vermutest du für ein Problem?

[italianstallion 11]

Hi RanCyyd,

 

die GesamtstrukturRollen kann ich übertragen (Schemamaster und Domänennamemaster) die RID, PDC und infrastrutkurmaster jedoch nicht, wobei ich mit dem RID angefangen hab und als der nicht ging nicht weiter gemacht hab!

Meldung war, dass der neue Ziel-DC nicht erreicht werden konnte, was ich aber für Quatsch halte.

 

Das stell ich mir aber hart vor...neu installieren mit neuem Namen und dann erstmal alles was nach DC01 klingt entfernen? Mit Yusufs Artikel?

 

Wenn das sauber ist, kann ichs versuchen...klingt für mich aber nach Brechstange!

 

Gruß

[morro 10]

hätte auch ein USN problem sein können, aber wenn kein image zurückgespielt wordenist dürfte es das auch nciht sein....

 

und die befehle sind sehr gut bei yusuf erklärt.

 

sollteste nochmal nacheinander aufmerksam Punkt 1. - 21. durchgehen...

 

LG

[morro 10]

Sind nciht alle Rollen verschoben ??? DAnn musst du die seizen falls die rollen auf dem server01 waren!

 

Ließ dir folgendes durch: Die FSMO-Rollen offline übernehmen

LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

[italianstallion 11]

Um Missverständnissen vor- oder nachzubeugen:

 

- Vor ca. einem Jahr wurden die Rollen vom ALTEN server01 auf den neu installierten DC01 verschoben (erfolgreich) ohne jedoch server01 herunterzustufen. Dieser wurde nun letzte Woche vom Kollegen platt gemacht ohne Runterstufung!

 

DC01 sollte demnach der aktuelle DC sein mit allen Rollen, macht aber mit der Replikation der beiden anderen Server Probleme!

 

Da DC01 der aktuelle DC sein soll, hätte ich bisschen ****** den einfach platt zu machen!