AD Probleme zwischen 2 DCs

[zetor 11]

Hallo Leute,

 

ich habe vor einigen Tagen meine Server von HyperV zu Vmware Vsphere mit dem VMConverter konvertiert. Inzwischen laufen zwar alle Maschinen soweit einwandfrei, allerdings gibt es noch ein paar Probleme:

 

1. DC, Domäne A:

Die Konsistenzüberprüfung (KCC) hat ermittelt, dass bei den fortlaufenden Versuchen, eine Replikationsverbindung mit dem folgenden Verzeichnisdienst herzustellen, immer wieder Fehler aufgetreten sind.

 

Versuche:

209

Verzeichnisdienst:

CN=NTDS Settings,CN=SERVER-DC-BGO,CN=Servers,CN=Ostheim,CN=Sites,CN=Configuration,DC=doerr-agrar,DC=local

Zeitraum (Minuten):

11352

 

Das Verbindungsobjekt für diesen Verzeichnisdienst wird ignoriert, und eine neue temporäre Verbindung wird hergestellt, damit die Replikation fortgesetzt werden kann. Die temporäre Verbindung wird entfernt, sobald die Replikation mit diesem Verzeichnisdienst wieder aufgenommen wird.

 

Zusätzliche Daten

Fehlerwert:

1908 Der Domänencontroller für diese Domäne wurde nicht gefunden.

 

2. DC, Domäne B, Eigenständiger Domänenstrukturstamm in vorhandener Domäne

 

Die Active Directory-Domänendienste-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsvorgangs wiederhergestellt.

 

Solange dieser Zustand besteht, können keine Benutzer über die Active Directory-Domänendienste angemeldet werden. Aus diesem Grund wird der Netzwerkanmeldedienst angehalten.

 

Benutzeraktion

Weitere Informationen finden Sie in vorherigen Ereignisprotokollen.

 

Die Folge ist, das der Anmeldedienst nicht startet und sich kein Benutzer mehr anmelden kann. Wenn ich den Anmeldedienst dann manuell starte geht alles.

 

3. Auf dem Exchange Server starten einige Dienste wie der Exchange Dienst Host nicht, obwohl sie auf automatisch stehen. Wenn ich die Dienste dann manuell starte, laufen sie soweit ordentlich.

 

 

Was läuft hier schief, bzw. welche Vorgehensweise schlagt ihr mir vor?

[Stefan W 14]

hi, welche Fehler gibt ein

dcdiag /q

her, wenn du es auf den jeweiligen Servern startest?

[zetor 11]

hi sweigl, auf dem dc der zweiten domäne kommt die folgende meldung:

C:\Users\administrator.DOERR-AGRAR>dcdiag /q

Fehler. Ereignis-ID: 0xC0000837

Erstellungszeitpunkt: 08/06/2012 13:09:29

Ereigniszeichenfolge:

Die Active Directory-Domänendienste-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsvorgangs wiederhergestellt.

......................... SERVER-DC-BGO hat den Test KccEvent nicht bestanden.

[Replications Check,SERVER-DC-BGO] Bei einer kürzlich ausgeführten

Replikation ist ein Fehler aufgetreten:

Von SERVER-DC nach SERVER-DC-BGO

Namenskontext: DC=ForestDnsZones,DC=doerr-agrar,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1908):

Der Domänencontroller für diese Domäne wurde nicht gefunden.

Auftreten des Fehlers: 2012-08-06 13:09:29.

Letzter erfolgreicher Vorgang: 2012-08-06 13:07:41.

Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten. Kerberos-Fehler. Es wurde kein KDC zum Authentifizieren des Aufrufs gefunden. Überprüfen Sie, ob genügend Domänencontroller verfügbar sind.

[Replications Check,SERVER-DC-BGO] Bei einer kürzlich ausgeführten

Replikation ist ein Fehler aufgetreten:

Von SERVER-DC nach SERVER-DC-BGO

Namenskontext: CN=Schema,CN=Configuration,DC=doerr-agrar,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1908): Der Domänencontroller für diese Domäne wurde nicht gefunden.

Auftreten des Fehlers: 2012-08-06 13:09:29.

Letzter erfolgreicher Vorgang: 2012-08-06 13:07:41.

Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten. Kerberos-Fehler. Es wurde kein KDC zum Authentifizieren des Aufrufs gefunden. Überprüfen Sie, ob genügend Domänencontroller verfügbar sind.

[Replications Check,SERVER-DC-BGO] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:

Von SERVER-DC nach SERVER-DC-BGO

Namenskontext: CN=Configuration,DC=doerr-agrar,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1908):

Der Domänencontroller für diese Domäne wurde nicht gefunden.

Auftreten des Fehlers: 2012-08-06 13:09:29.

Letzter erfolgreicher Vorgang: 2012-08-06 13:08:31.

Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten. Kerberos-Fehler. Es wurde kein KDC zum Authentifizieren des Aufrufs gefunden. Überprüfen Sie, ob genügend Domänencontroller verfügbar sind.

......................... SERVER-DC-BGO hat den Test Replications nicht bestanden.

Fehler. Ereignis-ID: 0xC00038D6

Erstellungszeitpunkt: 08/06/2012 13:08:59

Ereigniszeichenfolge:

Der DFS-Namespace-Dienst konnte die gesamtstrukturübergreifenden Vertrauensstellungsinformationen auf dem Domänencontroller nicht initialisieren. Der Vorgang wird jedoch in regelmäßigen Abständen wiederholt. Der Rückgabecode befindet sich in den Eintragsdaten.

Fehler. Ereignis-ID: 0xC00038D6

Erstellungszeitpunkt: 08/06/2012 13:08:08

Ereigniszeichenfolge:

Der DFS-Namespace-Dienst konnte die gesamtstrukturübergreifenden Vertrauensstellungsinformationen auf dem Domänencontroller nicht initialisieren. Der Vorgang wird jedoch in regelmäßigen Abständen wiederholt. Der Rückgabecode befindet sich in den Eintragsdaten.

Fehler. Ereignis-ID: 0x00000469

Erstellungszeitpunkt: 08/06/2012 13:09:29

Ereigniszeichenfolge:

Bei der Verarbeitung der Gruppenrichtlinie ist aufgrund fehlender Netzwerkkonnektivität mit einem Domänencontroller ein Fehler aufgetreten. Dies kann eine vorübergehende Bedingung sein. Es wird eine Erfolgsmeldung generiert, wenn die Verbindung des Computers mit dem Domänencontroller wiederhergestellt wurde und wenn die Gruppenrichtlinie erfolgreich verarbeitet wurde. Falls für mehrere Stunden keine Erfolgsmeldung angezeigt wird, wenden Sie sich an den Administrat

or.

[Gulp 228]

Was meinst Du denn was gleich die erste Meldung einem so sagen möchte?

 

Die Active Directory-Domänendienste-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsvorgangs wiederhergestellt.

 

Warum versucht man immer wieder solche unsupporteten Dinge ohne

 

a: das in einer Testumgebung ausgiebig zu testen und

 

b: sich vorher umfassend zu informieren, ob das gewünschte Verfahren überhaupt unterstützt wird und nicht zu Problemen führt.

 

Den Meldungen nach hast Du höchstwahrscheinlich nun einen USN Rollback.

 

How to detect and recover from a USN rollback in Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2

 

Eine saubere Wiederherstellung ohne Neuinstallation der DC's (und meist auch gleich von Exchange) und ohne ein aktuelles Backup der Ausgangssituation (noch ohne USN Rollback) ist nicht so einfach möglich.

 

Grüsse

 

Gulp

[zetor 11]

Der Domaincontroller der Hauptdomäne bringt die folgende Meldung:

 

C:\Users\Administrator.DOERR-AGRAR>dcdiag /q

Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge

haben.

......................... SERVER-DC hat den Test DFSREvent nicht

bestanden.

[Replications Check,SERVER-DC] Bei einer kürzlich ausgeführten

Replikation ist ein Fehler aufgetreten:

Von SERVER-DC-BGO nach SERVER-DC

Namenskontext: DC=ForestDnsZones,DC=doerr-agrar,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1908):

Der Domänencontroller für diese Domäne wurde nicht gefunden.

Auftreten des Fehlers: 2012-08-06 13:15:01.

Letzter erfolgreicher Vorgang: 2012-08-06 13:07:31.

Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

Kerberos-Fehler.

Es wurde kein KDC zum Authentifizieren des Aufrufs gefunden.

Überprüfen Sie, ob genügend Domänencontroller verfügbar sind.

[Replications Check,SERVER-DC] Bei einer kürzlich ausgeführten

Replikation ist ein Fehler aufgetreten:

Von SERVER-DC-BGO nach SERVER-DC

Namenskontext: CN=Schema,CN=Configuration,DC=doerr-agrar,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1908):

Der Domänencontroller für diese Domäne wurde nicht gefunden.

Auftreten des Fehlers: 2012-08-06 13:15:01.

Letzter erfolgreicher Vorgang: 2012-08-06 13:07:31.

Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

Kerberos-Fehler.

Es wurde kein KDC zum Authentifizieren des Aufrufs gefunden.

Überprüfen Sie, ob genügend Domänencontroller verfügbar sind.

[Replications Check,SERVER-DC] Bei einer kürzlich ausgeführten

Replikation ist ein Fehler aufgetreten:

Von SERVER-DC-BGO nach SERVER-DC

Namenskontext: CN=Configuration,DC=doerr-agrar,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1908):

Der Domänencontroller für diese Domäne wurde nicht gefunden.

Auftreten des Fehlers: 2012-08-06 13:15:01.

Letzter erfolgreicher Vorgang: 2012-08-06 13:07:31.

Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

Kerberos-Fehler.

Es wurde kein KDC zum Authentifizieren des Aufrufs gefunden.

Überprüfen Sie, ob genügend Domänencontroller verfügbar sind.

[Replications Check,SERVER-DC] Bei einer kürzlich ausgeführten

Replikation ist ein Fehler aufgetreten:

Von SERVER-DC-BGO nach SERVER-DC

Namenskontext: DC=bioenergie-ostheim,DC=local

Beim Replizieren ist ein Fehler aufgetreten (1908):

Der Domänencontroller für diese Domäne wurde nicht gefunden.

Auftreten des Fehlers: 2012-08-06 13:15:02.

Letzter erfolgreicher Vorgang: 2012-08-06 13:10:24.

Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

Kerberos-Fehler.

Es wurde kein KDC zum Authentifizieren des Aufrufs gefunden.

Überprüfen Sie, ob genügend Domänencontroller verfügbar sind.

......................... SERVER-DC hat den Test Replications nicht

bestanden.

Fehler. Ereignis-ID: 0xC00110F1

Erstellungszeitpunkt: 08/06/2012 13:14:16

Ereigniszeichenfolge:

Der WINS-Server konnte die Sicherheitseinstellung für schreibgeschüt

zte Vorgänge nicht initialisieren.

......................... SERVER-DC hat den Test SystemLog nicht

bestanden.

[Gulp 228]

Jo, aufgrund des USN Rollbacks können sich die DC's nicht mehr replizieren (werden es ohne weiteres auch nicht mehr können).

 

Wie bereits erwähnt, wenn es ein Backup der Domänen in ihrem fehlerfreien Zustand VOR dem Umzug gibt, solltest Du dieses wiederherstellen und dann eine geeignete Methode für den Umzug verwenden.

 

Seitens Microsoft gibt es, wie dem Artikel nachzulesen, den ich in meinem vorigen Post bereits erwähnt hatte, ganze 2 Möglichkeiten der Reparatur:

 

1: Ein sauberes Backup des Active Directory auf alle betroffenen DC's zurücksichern.

 

2: Alle betroffenen DC's aus der Domäne entfernen und das AD neu aufsetzen.

 

Grüsse

 

Gulp

[zetor 11]

hmm.. woher weiss ich welcher betroffen ist? ich habe jetzt die methoden zur erkennung eines usn rollbacks durchgeführt:

 

C:\Users\Administrator.DOERR-AGRAR>Repadmin /showutdvec server-dc.doerr-agrar.local dc=doerr-agrar", dc=local

GUIDs werden zwischengespeichert.

..

Ostheim\SERVER-DC auf USN 2195717 um 2012-08-06 13:45:28

22f3347f-2fbb-45f9-8170-9efb8e2eca4c auf USN 188570 um 2010-03-14 15:44:54

 

C:\Users\Administrator.DOERR-AGRAR>Repadmin /showutdvec server-dc-bioenergie-ostheim.local dc=bioenergie-ostheim", dc=local

Repadmin kann keine Verbindung mit einem "Stammserver" aufgrund folgenden Fehlers herstellen. Geben Sie einen anderen Stammserver mit /homeserver:[DNS-Name] an.

Fehler: Ein LDAP-Lookupvorgang ist mit folgendem Fehler fehlgeschlagen:

 

LDAP-Fehler 81(0x51): Server heruntergefahren

Server-Win32-Fehler 0(0x0):

Erweiterte Informationen:

 

 

C:\Users\Administrator.DOERR-AGRAR>

[OliverHu 19]

Hallo,

 

die zweite Meldung hängt ebenfalls mit dem USN Rollback zusammen. Die Replikation zwischen den beiden DCs wurde eingestellt.

 

Hast du ein Backup der Maschinen?

[zetor 11]

ups vertippt :>

 

C:\Users\Administrator.DOERR-AGRAR>repadmin /showutdvec server-dc-bgo.bioenergie

-ostheim.local dc=bioenergie-ostheim", dc=local

GUIDs werden zwischengespeichert.

..

Ostheim\SERVER-DC-BGO auf USN 204992 um 2012-08-06 13:53:39

 

 

C:\Users\Administrator.DOERR-AGRAR>

[zetor 11]

Ja ich habe ein Backup, aber das ist halt schon viel zu alt inzwischen.. :( ich hatte nicht viel Zeit für die EDV im Moment, da hab ich die fehler einfach ignoriert.. :/

 

Eine Frage:

Kann ich den Fehler beheben indem ich einen der beiden DCs neu aufsetze und den alten lasse? Oder gibt es eine Möglichkeit sowas zu reparieren?

[Gulp 228]

Da Du ja vermutlich quasi alle DC's so behandelt hast, sind auch alle von der USN Rollback Problematik betroffen.

 

Hier hilft ausschliesslich, wie bereits mehrfach erwähnt, entweder ein sauberes Backup des gesamten AD's und das VOR dem USN Rollback oder aber die DC's müssen demoted und dann neu promoted werden und somit in dem Fall das AD neu angelegt werden.

 

Da muss man hier gleich noch darauf achten, dass es ja auch einen aktiven Exchange gibt.

 

Oder sind da noch mehr DC's im Spiel?

 

Grüsse

 

Gulp

[zetor 11]

Nein es sind nicht noch mehr DCs im Spiel..

Man, mich ärgert das, das ich das Ganze so versaut habe, ich habe halt nur ein kleines Netzwerk, und der DC übernimmt halt auch die Funktion eines Fileservers und die AD Konten liegen darauf.. *grrr*

 

Kann ihc das Demoten und Promoten auch durchführen ohne das Einstellungen und Dateien verloren gehen?

[Stefan W 14]

Du sprichst von 2 Domänen die nicht miteinander in Zusammenhang stehen oder?

oder hab ich das falsch gelesen?

[Gulp 228]

Verloren gehen alle Dinge, die im AD gespeichert werden, die Domäne muss ja quasi komplett neu eingerichtet werden, sprich alle User, Gruppen, GPO's, usw.

 

Auch die Freigabeberechtigungen sind anschliessend zu kontrollieren, man sollte hierbei nicht vergessen, dass ein Exchange Server, der auch DC ist kein Demote und Promote durchführen darf, ansonsten ist der Exchange futsch. Auch hier muss man seperat nochmals planen, wie man vorgeht.

 

Tut mir ja leid, das sagen zu müssen, aber meistens kostet eine gute Vorbereitung zwar einiges an Zeit, dafür spart man hinterher an Ärger.

 

Auch sind solche Aktionen an einer noch so kleinen Produktivumgebung ohne vorheriges Backup recht "mutig". Ist zwar jetzt zu spät dafür, soll auch nicht gehässig sein, man muss aber dennoch mal erwähnt haben, finde ich.

 

Auch wenn das Backup vielleicht recht alt ist, so würde ich es nicht ganz vergessen wollen, wie alt ist es eigentlich?

 

Grüsse

 

Gulp

[zetor 11]

Ich bin leider kein studierter Administrator, deswegen fehlen mir manchmal etwas die richtigen Fachbegriffe, aber es gab bis vor kurzem nur eine Domäne. Dann habe ich einen zweiten DC aufgesetzt und bei der AD Installation "Eigenständiger Domänenstrukturstamm in vorhandener Domäne" ausgewählt. Zwischen den beiden besteht also eine Vertrauensstellung. Die neue zweite Domäne ist nicht weiter wichtig, ich habe die eigentlich nur angelegt um Benutzerkonten für eine Sharepoint Seite zu erstellen, ein löschen dieses Controllers wäre verkraftbar :>