Jump to content

Probleme nach Umstellung von 2000 auf 2008


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

nach einem halben Jahr Planung und mehrfachem Simulieren der Umstellung in einer Testumgebung haben wir nun die Umstellung letzte Woche durchgeführt und sind heute über einige Fehler in den Event-Logs gestolpert.

 

Ich poste einfach mal hier, weil ich hoffe, dass es hier jemanden gibt, der eventuell weiterhelfen kann und uns somit eine langwierige Fehlersuche ersparen kann.

 

Hier zunächst mal die Ausgangssitutation, die vor der Umstellung bestand.

 

Die Serverlandschaft bestand aus zwei englischsprachigen Windows Server 2000 SP4 DCs, zwei linuxbasierten DNS-Servern (mit statisch gepflegten Einträgen) und einem linuxbasierten Fileserver für Profil- und Home-Verzeichnisse.

 

Der Betrieb in dieser Konstellation funktionierte ohne Probleme.

 

Um die Umstellung zunächst zu Planen und zu Simulieren wurde eine Testumgebung aufgebaut, die aus den DCs, dem Fileserver und ein paar Clients bestand. DNS wurde in der Testumgebung durch die beiden DCs realisiert und auf DHCP wurde verzichtet.

 

Die eigentliche Umstellung ist wie in Yusufs.Directory.Blog erfolgt und hat in der Testumgebung immer erfolgreich funktioniert.

 

Nun zu den eigentlichen Problemen.

Zunächst die Fehler wegen DNS

 

Der erste Fehler der regelmäßig auf beiden DCs erscheint ist der folgende

Link

 

dc1.domain.local dient der Veranschaulichung und entspricht nicht dem richtigen Namen.

Aus diesem Fehler schließen wir, dass die Domänencontroller sich nicht selbst beim DNS-Server registrieren können, was auch so gewollt ist. Es sollen weiterhin die beiden vorhandenen DNS-Server verwendet und die Einträge statisch gepflegt werden.

Als ersten Lösungsansatz haben wir in den erweiterten Eigenschaften des IPv4-Protokolls im Reiter DNS unten den Haken entfernt, dass sich der Adapter mit seiner Adresse selbst im DNS registrieren soll. Leider ändert dies nichts und die Einträge sind über das Wochenende mehrfach geloggt worden. Das IPv6-Protokoll haben wir durch entfernen des Hakens deaktiviert und dort ansonsten keine Änderungen vorgenommen.

 

Wir denken, dass dem Server eventuell noch ein paar Einträge im DNS fehlen, die er selber einzutragen versucht. Da wäre nur die Frage welche, da unter Windows 2000 Server diese Meldung nicht vorhanden war.

 

 

Der zweite Eintrag wegen DNS ist der folgende:

Link

 

Hier scheint etwas mit der Namensauflösung für die Bestimmung der IP-Adresse des Replikationspartners nicht zu stimmen.

 

Uns verwundert allerdings, dass sowohl nslookup dc2.domain.local, als auch nslookup a69d05ea-7d4d-46d8-8a62-f3f191fe57e4._msdcs.domain.local in einer Konsole auf dc1 ausgeführt korrekt aufgelöst werden.

Die Replikation funktioniert ebenfalls (nur über welchen Weg, ob DNS oder NetBios wissen wir nicht) und Clients können sich ohne Probleme anmelden.

 

Die Namensauflösung mit DNS funktioniert aus der Konsole heraus genauso wie vor der Umstellung.

 

Das waren es in Sachen DNS.

 

 

Nun ein sehr hartnäckiger Eintrag.

Link

 

Dieser Eintrag erscheint immer in Blöcken vom ca. 30-40 Einträgen und wiederholt sich alle paar Stunden. Dabei ändern sich die Parameter in der Beschreibung.

 

Ein Neustart der DCs keine Besserung gebracht. Eine erste Recherche hat ergeben, dass dieser Fehler unter Windows Server 2003 wohl mit einem Hotfix behoben werden kann, allerdings haben wir bisher nichts im Zusammenhang mit Windows Server 2008 gefunden.

 

Das ist erst einmal der aktuelle Stand der Dinge. Morgen werden wir zunächst versuchen der DNS-Problematik auf die Schliche zu kommen und dann den Rest angehen.

 

Ich hoffe, dass hier eventuell jemand ein paar Tipps hat, damit das Suchen nicht unnötig lange ausfällt.

 

Vielen Dank auf jeden Fall schon mal im Voraus für eure Mühe.

 

mfg

MrBasemann

bearbeitet von MrBasemann
falschen Link korrigiert
Link zu diesem Kommentar
Die Serverlandschaft bestand aus zwei englischsprachigen Windows Server 2000 SP4 DCs, zwei linuxbasierten DNS-Servern (mit statisch gepflegten Einträgen) und einem linuxbasierten Fileserver für Profil- und Home-Verzeichnisse.

 

Gibt es einen Grund wieso DNS nicht auf den DCs läuft? In den meisten kleineren Deployments (und in vielen grösseren Deployments) ist dies die empfohlene Variante. Seperate DNS Server geben deutlichen Mehraufwand. Eine einfache Art das umzustellen ist indem ihr einfach eure AD Zone von den Linux-DNS Servern an Windows delegiert - die Linux DNS Server könnt ihr dann weiterhin als Resolver benutzen.

 

DNS wurde in der Testumgebung durch die beiden DCs realisiert

 

Damit habt ihr eine der grössten Fehlerquellen nicht getestet. Das ist schon keine optimale Vorgehensweise.

 

Der erste Fehler der regelmäßig auf beiden DCs erscheint ist der folgende

Link

 

Wenn die Fehlermeldung im Board nicht auffindbar ist, können andere mit demselben Fehler nicht suchen.

 

Die Fehlermeldung deutet nicht auf ein Problem mit DNS hin, sondern mit einer Gruppenrichtlinie, die einen Registry-Wert nicht anpassen kann. Der Registry-Key selbst bezieht sich allerdings darauf wie Netlogon seine DNS SRV RRs registrieren soll.

 

Das IPv6-Protokoll haben wir durch entfernen des Hakens deaktiviert und dort ansonsten keine Änderungen vorgenommen.

 

Dies ist nicht die richtige Vorgehensweise zum deaktivieren von IPv6.

 

How to disable certain Internet Protocol version 6 (IPv6) components in Windows Vista, Windows 7 and Windows Server 2008

 

Der zweite Eintrag wegen DNS ist der folgende:

Link

 

 

Was meint denn dcdiag?

 

Nun ein sehr hartnäckiger Eintrag.

Link

 

Nochmal die SiteCoverage Story. Hast du evtl. eine Fehlermeldung falsch gepastet?

 

Mein Allgemeiner Tip: Nehmt DNS für die AD Zone auf die DCs, erspart euch jede Menge arbeit und gewinnt zusätzlichen Komfort.

Link zu diesem Kommentar

Oben war der erste Eintrag falsch. Habe ich jetzt korrigiert.

 

Habe die Meldungen nur als Links eingefügt, weil ich ansonsten nicht mit der maximalen Zeichenbegrenzung für einen Post hingekommen bin.

 

Gibt es einen Grund wieso DNS nicht auf den DCs läuft?

Ich werde diesbezüglich morgen noch mal bei den Verantwortlichen nachhaken. Soweit mir aber bisher zu Ohren gekommen ist wurde damals diese Lösung gewählt, damit die Rechnerpools über Nacht und einige nicht in der Domäne vorhandene zusätzliche Rechner immer in einem Cluster Simulationen durchführen können.

 

 

Was meint denn dcdiag?

Das Ergebnis von dcdiag werde ich morgen posten, weil ich das gerade nicht hier habe.

 

Ich versuche hier jetzt noch mal die Fehlermeldungen zu posten.

 

Der erste Fehler, der oben noch fehlte.

Log Name:      System
Source:        NETLOGON
Date:          28.09.2009 09:12:39
Event ID:      5782
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      dc1.domain.local
Description:
Dynamic registration or deregistration of one or more DNS records failed 
with the following error:
No DNS servers configured for local system.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
   <Provider Name="NETLOGON" />
   <EventID Qualifiers="0">5782</EventID>
   <Level>3</Level>
   <Task>0</Task>
   <Keywords>0x80000000000000</Keywords>
   <TimeCreated SystemTime="2009-09-28T07:12:39.000Z" />
   <EventRecordID>24969</EventRecordID>
   <Channel>System</Channel>
   <Computer>dc1.domain.local</Computer>
   <Security />
 </System>
 <EventData>
   <Data>%%9852</Data>
   <Binary>7C260000</Binary>
 </EventData>
</Event>

Link zu diesem Kommentar

Der zweite Fehler:

Log Name:      Directory Service
Source:        Microsoft-Windows-ActiveDirectory_DomainService
Date:          25.09.2009 14:36:04
Event ID:      2088
Task Category: DS RPC Client
Level:         Warning
Keywords:      Classic
User:          ANONYMOUS LOGON
Computer:      dc1.domain.local
Description:
Active Directory Domain Services could not use DNS to resolve the IP 
address of the source domain controller listed below. To maintain the 
consistency of Security groups, group policy, users and computers and 
their passwords, Active Directory Domain Services successfully 
replicated using the NetBIOS or fully qualified computer name of the 
source domain controller.

Invalid DNS configuration may be affecting other essential operations on 
member computers, domain controllers or application servers in this 
Active Directory Domain Services forest, including logon authentication 
or access to network resources.

You should immediately resolve this DNS configuration error so that this 
domain controller can resolve the IP address of the source domain 
controller using DNS.

Alternate server name:
dc2.domain.local
Failing DNS host name:
a69d05ea-7d4d-46d8-8a62-f3f191fe57e4._msdcs.domain.local 

...

Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
   <Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" 
Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS 
Replication" />
   <EventID Qualifiers="32768">2088</EventID>
   <Version>0</Version>
   <Level>3</Level>
   <Task>22</Task>
   <Opcode>0</Opcode>
   <Keywords>0x8080000000000000</Keywords>
   <TimeCreated SystemTime="2009-09-25T12:36:04.082Z" />
   <EventRecordID>81</EventRecordID>
   <Correlation />
   <Execution ProcessID="612" ThreadID="2484" />
   <Channel>Directory Service</Channel>
   <Computer>dc1.domain.local</Computer>
   <Security UserID="S-1-5-7" />
 </System>
 <EventData>
   <Data>dc2.domain.local</Data>

<Data>a69d05ea-7d4d-46d8-8a62-f3f191fe57e4._msdcs.domain.local</Data>
   <Data>11001</Data>
   <Data>No such host is known.</Data>
   <Data>System\CurrentControlSet\Services\NTDS\Diagnostics</Data>
   <Data>22 DS RPC Client</Data>
 </EventData>
</Event>

 

und der dritte Fehler:

Log Name:      System
Source:        NETLOGON
Date:          28.09.2009 09:33:59
Event ID:      5803
Task Category: None
Level:         Warning
Keywords:      Classic
User:          N/A
Computer:      dc1.domain.local
Description:
The following error occurred while reading a parameter 'SiteCoverage' in 
the Netlogon Group Policy registry section:
Illegal operation attempted on a registry key that has been marked for 
deletion.
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
   <Provider Name="NETLOGON" />
   <EventID Qualifiers="0">5803</EventID>
   <Level>3</Level>
   <Task>0</Task>
   <Keywords>0x80000000000000</Keywords>
   <TimeCreated SystemTime="2009-09-28T07:33:59.000Z" />
   <EventRecordID>25082</EventRecordID>
   <Channel>System</Channel>
   <Computer>dc1.domain.local</Computer>
   <Security />
 </System>
 <EventData>
   <Data>Group Policy</Data>
   <Data>SiteCoverage</Data>
   <Data>%%1018</Data>
   <Binary>FA030000</Binary>
 </EventData>
</Event>

Link zu diesem Kommentar

Hier dann mal der neue Stand.

 

IPv6 wurde jetzt wie im KB-Artikel abgeschaltet und hat auch in den dcdiag-Test sofort ein paar Fehler behoben.

 

Zur Sache mit dem DNS kann ich jetzt soviel sagen.

Das Rechenzentrum der Universität betreibt einen zentralen DNS-Server (unter Unix), in dem auch unsere Domäne verwaltet wird. Dort sind alle Server und Clients fest eingetragen. Diese Lösung wurde damals so gewählt, damit die Domäne auch aus anderen Fakultäten erreicht werden.

Die beiden linuxbasierten DNS-Server, die hier im Netz hängen dienen als Cache, falls mal die Verbindung zum DNS-Server des Rechenzentrums ausfallen sollte und ermöglichen es Rechner, die von außen nicht erreichbar sein sollen, zu betreiben (insbesondere die reinen Cluster-Rechner).

 

Der Fehler mit der Event-ID 2088 ist nicht mehr aufgetreten, obwohl dieser zuvor mehrmals am Tag geloggt wurde.

 

Dafür sind nach wie vor jede Menge Fehler von Netlogon mit der Event-ID 5803 zu verzeichnen, die sich im Abstand von ein paar Stunden wiederholen.

Ich habe jetzt mal die Parameter der Meldungen rausgeschrieben.

RefusePasswordChange 
AvoidSamRepl
AvoidLsaRepl
SignSecureChannel
SealSecureChannel
RequireSignOrSeal
RequireStrongKey
SysVolReady
UseDynamicDns
RegisterDnsARecords
AvoidPdcOnWan
AutoSiteCoverage 
AvoidDnsDeregOnShutdown
DnsUpdateOnAllAdapters
Nt4Emulator
DisableNTLMOnDC
EnableChainSetClientAttributes 
DisablePasswordChange 
NeutralizeNt4Emulator
AllowSingleLabelDnsDomain
AllowExclusiveSysvolShareAccess
AllowExclusiveScriptsShareAccess
AvoidLocatorAccountLookup 
NeverPing
RegisterSiteSpecificDnsRecordsOnly 
TryNextClosestSite 
DisableNTLMOnServer 
AllowNT4Crypto 
BreakOnShareFailure 
IgnoreIncomingMailslotMessages 
SysVol 
Scripts 
RpcDacl 
SiteName 
SiteCoverage 

 

Hier auch die angeforderten Ausgaben von dcdiag.

 

Als erstes von dcdiag /test:dns:

Directory Server Diagnosis


Performing initial setup:

  Trying to find home server...

  Home Server = dc1

  * Identified AD Forest. 
  Done gathering initial info.


Doing initial required tests


  Testing server: site\dc1

     Starting test: Connectivity

        ......................... dc1 passed test Connectivity



Doing primary tests


  Testing server: site\dc1


     Starting test: DNS



        DNS Tests are running and not hung. Please wait a few minutes...

        ......................... dc1 passed test DNS


  Running partition tests on : ForestDnsZones


  Running partition tests on : DomainDnsZones


  Running partition tests on : Schema


  Running partition tests on : Configuration


  Running partition tests on : domain


  Running enterprise tests on : domain.local

     Starting test: DNS

        Test results for domain controllers:


           DC: dc1.domain.local

           Domain: domain.local




              TEST: Basic (Basc)
                 Warning: The Active Directory zone on this DC/DNS server was

                 not found (probably a misconfiguration)

              TEST: Dynamic update (Dyn)
                 Warning: Failed to add the test record _dcdiag_test_record in zone domain.local

              dc1                   PASS WARN PASS n/a  WARN PASS n/a  
        ......................... domain.local passed test

        DNS

 

und gleich noch von dcdiag ohne Parameter.

Link zu diesem Kommentar

hier jetzt von dcdiag ohne Parameter

Directory Server Diagnosis
Performing initial setup:

  Trying to find home server...

  Home Server = dc1

  * Identified AD Forest. 
  Done gathering initial info.

Doing initial required tests
  Testing server: site\dc1
     Starting test: Connectivity
        ......................... dc1 passed test Connectivity

Doing primary tests
  Testing server: site\dc1
     Starting test: Advertising
        ......................... dc1 passed test Advertising
     Starting test: FrsEvent
        ......................... dc1 passed test FrsEvent
     Starting test: DFSREvent
        ......................... dc1 passed test DFSREvent
     Starting test: SysVolCheck
        ......................... dc1 passed test SysVolCheck
     Starting test: KccEvent
        ......................... dc1 passed test KccEvent
     Starting test: KnowsOfRoleHolders
        ......................... dc1 passed test KnowsOfRoleHolders
     Starting test: MachineAccount
        ......................... dc1 passed test MachineAccount
     Starting test: NCSecDesc
        ......................... dc1 passed test NCSecDesc
     Starting test: NetLogons
        ......................... dc1 passed test NetLogons
     Starting test: ObjectsReplicated
        ......................... dc1 passed test ObjectsReplicated
     Starting test: Replications
        ......................... dc1 passed test Replications
     Starting test: RidManager
        ......................... dc1 passed test RidManager
     Starting test: Services
        ......................... dc1 passed test Services
     Starting test: SystemLog
        An Warning Event occurred.  EventID: 0x00001696
           Time Generated: 09/29/2009   13:13:25

           EvtFormatMessage failed, error 15100 Win32 Error 15100.
           (Event String (event log = System) could not be retrieved, error 0x3afc)
        ......................... dc1 passed test SystemLog
     Starting test: VerifyReferences
        ......................... dc1 passed test VerifyReferences
  Running partition tests on : ForestDnsZones
     Starting test: CheckSDRefDom
        ......................... ForestDnsZones passed test CheckSDRefDom
     Starting test: CrossRefValidation
        ......................... ForestDnsZones passed test
        CrossRefValidation

  Running partition tests on : DomainDnsZones

     Starting test: CheckSDRefDom
        ......................... DomainDnsZones passed test CheckSDRefDom
     Starting test: CrossRefValidation
        ......................... DomainDnsZones passed test

        CrossRefValidation

  Running partition tests on : Schema
     Starting test: CheckSDRefDom
        ......................... Schema passed test CheckSDRefDom
     Starting test: CrossRefValidation
        ......................... Schema passed test CrossRefValidation

  Running partition tests on : Configuration
     Starting test: CheckSDRefDom
        ......................... Configuration passed test CheckSDRefDom
     Starting test: CrossRefValidation
        ......................... Configuration passed test CrossRefValidation

  Running partition tests on : domain
     Starting test: CheckSDRefDom
        ......................... domain passed test CheckSDRefDom
     Starting test: CrossRefValidation
      ......................... domain passed test CrossRefValidation

  Running enterprise tests on : domain.local
     Starting test: LocatorCheck
        ......................... domain.local passed test

        LocatorCheck

     Starting test: Intersite
        ......................... domain.local passed test

        Intersite

Der angemeckerte Fehler ist der oben genannte von Netlogon mit der Event-ID 5803.

 

Morgen gehts weiter mit der Suche.

Link zu diesem Kommentar

Du musst auf Deinen Linux-DNS Servern dann schon die ganzen Zonen-Einträge für Deine Windows-Domäne vornhemen. Ein paar Host-Recors reichen nicht. Oder Du bringst den Linux-Kisten DDNS (geht seit irgendeiner BIND-Version) bei. Alternative: DNS-Server von Windows nehmen und auf den Linux-Servern eine Zonen-Delegation machen. Dann ist alles vom Linux-DNS auflösbar. Baer das hatte LukasB schon geschrieben.

 

-Zahni

Link zu diesem Kommentar
Du musst auf Deinen Linux-DNS Servern dann schon die ganzen Zonen-Einträge für Deine Windows-Domäne vornhemen. Ein paar Host-Recors reichen nicht. Oder Du bringst den Linux-Kisten DDNS (geht seit irgendeiner BIND-Version) bei. Alternative: DNS-Server von Windows nehmen und auf den Linux-Servern eine Zonen-Delegation machen. Dann ist alles vom Linux-DNS auflösbar. Baer das hatte LukasB schon geschrieben.

 

-Zahni

 

Was für Einträge wären das denn, die zusätzlich da eingetragen werden müssen?

 

Am DNS wurde während der Umstellung nichts geändert und vor der Umstellung hatten die beiden Windows 2000 Server diese Probleme nicht.

 

Hat Windows Server 2008 da vielleicht zusätzliche Einträge gegenüber Windows 2000 Server, die wir nicht bedacht haben?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...