Domänencontroller ersetzen

[marcmarc 10]

Hallo allerseits,

 

ich habe das Problem, dass mein Domänencontroller (2k3 Std, der Einzige im Netz) so ca. alle 1,5 Std abstürzt und neu gestartet werden muss. Da ich ein Hardwareproblem komplett ausschließen kann und lange erfolglos auf Fehlersuche war, bin ich jetzt dabei einen zweiten Server als DC aufzusetzen, um das AD zu übernehmen und danach den Server komplett neu installieren zu können.

Mit dcpromo habe ich den 2. Server also als zweiten DC eingerichtet. Ich glaube danach habe ich einen Fehler gemacht: Da DNS nicht mitinstalliert worden ist, habe ich diesen Schritt von Hand durchgeführt und eine primäre Zone für die Domäne neu eingerichtet. Ich weis nicht, ob das die Ursache meiner Probleme ist, jedenfalls funktioniert die Namensauflösung in beide Richtungen. Naja, ich habe dann alle FSMO-Rollen, sowie den Global Catalog auf den neuen DC übertragen jedoch gab es Probleme bei der Replizierung. Daraufhin habe ich zumindest die NETLOGON und die Sysvol-Freigabe von Hand erstellt und irgendwann klappte die Replizierung über Standorte und Dienste dann auch erfolgreich. Es kommt nun, sobald ich den defekten Server vom Netz nehme zu einigen Problemen.

 

Ereignislog:

 

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1054

Datum: 09.12.2009

Zeit: 11:57:56

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: B-HM0W4TURQ1GIW

Beschreibung:

Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.

 

Ereignistyp: Fehler

Ereignisquelle: Userenv

Ereigniskategorie: Keine

Ereigniskennung: 1030

Datum: 09.12.2009

Zeit: 11:52:41

Benutzer: NT-AUTORITÄT\SYSTEM

Computer: B-HM0W4TURQ1GIW

Beschreibung:

Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Ereignistyp: Fehler

Ereignisquelle: SceSrv

Ereigniskategorie: Keine

Ereigniskennung: 1003

Datum: 09.12.2009

Zeit: 12:10:44

Benutzer: Nicht zutreffend

Computer: B-HM0W4TURQ1GIW

Beschreibung:

Die Benachrichtigung der Richtlinienänderung von LSA/SAM wurde wiederholt und ist fehlgeschlagen. Der Fehler 4312 ist beim Speichern der Richtlinienänderung für das Konto S-1-5-21-503291458-1849067098-94860929-500 im Standardgruppenrichtlinienobjekt aufgetreten. Debuginformationen finden Sie unter dem Windows-Stammverzeichnis in security\logs\scepol.log.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Ereignistyp: Fehler

Ereignisquelle: NTDS General

Ereigniskategorie: Globaler Katalog

Ereigniskennung: 1126

Datum: 09.12.2009

Zeit: 11:35:03

Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG

Computer: B-HM0W4TURQ1GIW

Beschreibung:

Active Directory konnte keine Verbindung mit dem globalen Katalog herstellen.

 

Zusätzliche Daten

Fehlerwert:

1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Interne Kennung:

3200cf3

 

Benutzeraktion

Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Für die Diagnose dieses Problems können Sie das Dienstprogramm nltest verwenden.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

[marcmarc 10]

In den AD-Snapins wurden zwar Benutzer usw. übertragen aber wenn ich den anderen Server offline habe, kommt dort die Meldung, dass keine Verbindung zur Domäne hergestellt werden kann.

Bei netdiag kommt "the system volume has not been completely replicated"

Netdiag und Dcdiag dauern gerade extrem lange sonst würde ich die auch noch posten. Bei Anmeldung an Clients oder Verbinden von Netzlaufwerke kommt nach Absturz des Servers die Meldung "Anmeldeserver nicht vorhanden" oder so ähnlich (werde das nachher nochmal versuchen).

[morro 10]

Ahoi,

 

schau dir mal den Artikel an LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen

 

Gruß

[NilsK 2.789]

Moin,

 

deinstalliere den zweiten DC. Dann richte ihn neu ein nach Yusufs Anleitung oder anderen sinnvollen Quellen.

 

Gruß, Nils

[marcmarc 10]

Ahoi,

 

schau dir mal den Artikel an LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen

 

Gruß

 

Erstmal Danke für die schnelle Antwort.

 

Um auszuschließen, dass es sich hier um ein DNS Problem handelt: Kann ich die Zonen auf dem Ersatz-Server einfach wieder löschen und die von dem alten DC übernehmen lassen?

 

Diese DNS-Meldung ist vllt. nicht ganz unerheblich:

Die Zone "x.y" wurde bereits von der Verzeichnispartition "MicrosoftDNS" geladen, aber eine neue Kopie der Zone wurde in der Verzeichnispartition "DomainDnsZones.x.y" gefunden. Der DNS-Server wird diese neue Kopie der Zone ignorieren. Beheben Sie diesen Konflikt so bald wie möglich.

 

Mir isnur mulmig, dass das nachher in die verkehrte Richtung läuft und ich auf dem alten DC auch die Zonen raus habe. Kann ich das irgendwie kontrollieren?

[morro 10]

Wie nils schon sagte deinstallier den 2.DC und richte ihn nach der Anleitung ein.

[marcmarc 10]

Hab DNS und DC nochmal runtergeschmissen und wie in der Anleitung neu aufgesetzt. DNS wurde vom anderen DC automatisch übernommen. Hab dann schonmal den GC-Haken gesetzt aber noch keine FSMO-Rollen übernommen. Allerdings sind die Freigaben (SYSVOL u. NETLOGON) noch nicht vorhanden und in der Ereignisanzeige steht folgendes:

 

Ereignistyp: Warnung

Ereignisquelle: NtFrs

Ereigniskategorie: Keine

Ereigniskennung: 13508

Datum: 09.12.2009

Zeit: 14:31:42

Benutzer: Nicht zutreffend

Computer: B-HM0W4TURQ1GIW

Beschreibung:

Der Dateireplikationsdienst konnte die Replikation von \\server01.x.y nach B-HM0W4TURQ1GIW für c:\windows\sysvol\domain mit DNS-Namen \\server01.x.y nicht aktivieren. Es wird ein neuer Versuch gestartet.

Mögliche Ursachen für diese Warnung sind:

 

[1] Der DNS-Name \\server01.x.y von diesem Computer konnte nicht ausgewertet werden.

[2] Der Dateireplikationsdienst wird auf \\server01.x.y nicht ausgeführt.

[3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert.

 

Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events and Errors Message Center: Basic Search.

Daten:

0000: d5 04 00 00 Õ...

 

 

 

 

Punkt 1 und 2 kann ich als Ursache ausschließen aber bei 3 weiß ich nicht weiter.

[marcmarc 10]

Netdiag

....................................

 

Computer Name: B-HM0W4TURQ1GIW

DNS Host Name: b-hm0w4turq1giw.x.y

System info : Microsoft Windows Server 2003 (Build 3790)

Processor : x86 Family 15 Model 107 Stepping 2, AuthenticAMD

List of installed hotfixes :

GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED]

[WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets.

[WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets.

GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED]

 

 

 

Per interface results:

 

Adapter : LAN-Verbindung

 

Host Name. . . . . . . . . : b-hm0w4turq1giw

IP Address . . . . . . . . : 192.168.0.101

Subnet Mask. . . . . . . . : 255.255.255.0

Default Gateway. . . . . . : 192.168.0.254

Dns Servers. . . . . . . . : 192.168.0.100

 

 

 

WINS service test. . . . . : Skipped

 

 

Global results:

 

 

Domain membership test . . . . . . : Failed

[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.

[WARNING] You don't have a single interface with the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names defined.

 

 

DNS test . . . . . . . . . . . . . : Passed

PASS - All the DNS entries for DC are registered on DNS server '192.168.0.100' and other DCs also have some of the names registered.

 

IP Security test . . . . . . . . . : Skipped

 

 

The command completed successfully

[marcmarc 10]

dcdiag

 

Unable to connect to the NETLOGON share! (\\B-HM0W4TURQ1GIW\netlogon)

[b-HM0W4TURQ1GIW] An net use or LsaPolicy operation failed with error 1203, Der angegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen..

......................... B-HM0W4TURQ1GIW failed test NetLogons

Warning: DsGetDcName returned information for \\server01.x.y, when we were trying to reach B-HM0W4TURQ1GIW.

Server is not responding or is not considered suitable.

......................... B-HM0W4TURQ1GIW failed test Advertising

There are warning or error events within the last 24 hours after the

 

SYSVOL has been shared. Failing SYSVOL replication problems may cause

 

Group Policy problems.

......................... B-HM0W4TURQ1GIW failed test frsevent

[morro 10]

Hat der 1.DC evtl. Probleme? Mal im Eventlog nachgeschaut?

 

Check von beiden Servern die Logs nochmal genau!

 

Haste den DC auch wirklich nach der Anleitung eingerichtet?

[marcmarc 10]

1.DC war in Ordnung. Hab vorher soweit dcdiag und netdiag ohne Fehler gehabt. Aber zur Zeit kommt ein JornalWrapError. Habe diesen Thread hier gefunden und werde mich mal durcharbeiten: http://www.mcseboard.de/windows-forum-ms-backoffice-31/sysvol-repliziert-2-80866.html

 

Mir ist gerade noch aufgefallen, dass der DNS-Fehler mit der Zonenkopie wieder auftritt. Kann es sein, dass das Deinstallieren von DNS nicht ausreicht, um die Konfiguration zu entfernen?

Ich denke ich werde einen neuen Server als Domänencontroller aufstellen und mit nem frischen OS nochmal die Domäne übernehmen. Das Problem ist, dass auf dem Ersatzserver gerade alle wichtigen Programme und Daten liegen.

[morro 10]

Hattest du nur das DNS deinstalliert oder den DC demotet?

[marcmarc 10]

beides. Hab dann DNS gestartet und in der mmc sichergestellt, dass noch keine Zone angelegt war. Dann neugestartet und die Zonen waren wieder drin. Hab leider nicht genau auf die Zeit geachtet und bin davon ausgegangen, dass der DNS-Fehler noch von vorher kam. Naja und nachdem der alte Server jetzt über Nacht wieder zwei Mal abgestürzt ist steht die Meldung erneut drin.

 

---

 

Nach wie vor ist es nicht möglich sich irgendwo anzumelden, wenn der 1.DC abgestürzt ist.

Außerdem ist mir aufgefallen, dass wenn ich auf \\x.y (also nur den Domänenpfad zugreife), die Freigaben des 1.DCs sehe. Vom 2.DC kann fehlen mir aber die Berechtigungen (als x.y\Administrator) auf einige Freigaben zuzugreifen.

--> Wahrscheinlich alles Folgefehler der nicht durchgeführten Replikation.

[morro 10]

Und das demoten soll ohne Probleme funktioniert haben???

[marcmarc 10]

nicht, dass ich dich jetzt falsch verstanden habe

Demoten ist runterstufen oder?

Hab dcpromo durchgeführt und es kamen dabei keine Fehlermeldungen.

Der Server war danach wieder normaler Mitgliedsserver der Domäne.

Mein manuell erstellter Sysvol war danach auch wieder weg.