Keine Replikation, kein Sysvol, kein Netlogon

xhutzelx · 19. Mai 2014

Hallo zusammen!

Ich versuche mal mein Problem so informativ rüberzubringen, wie ich kann.

Symptom/Problem:

Ich habe die Tage zwei neue Domänencontroller aufsetzen wollen, um die derzeitigen 2008R2-Maschinen mit 2012R2 abzulösen. Dann hatte ich das Problem, dass auf den neuen DC's kein Sysvol und Netlogon angezeigt wurde.

Was habe ich im Detail gemacht:

1) Funktionsebene von 2008 auf 2008R2 angehoben. Das wurde anscheinend bisher nicht gemacht.

2) Umgebung mit "dcdiag /e /c /v" und "repadmin /showrepl /all /verbose" getestet. Leider hab ich die dcdiag.txt mit einer späteren überschrieben. Aber das Ergebnis war ok. repadmin war soweit auch ok.

3) Windows 2012R2 aufgesetzt und alle Updates installiert.

4) Windows Firewall deaktiviert (ist auf allen Systemen deaktiviert).

5) Active Directory Domänendienste inkl. Features installiert und zu DCs hochgestuft. Hat alles soweit geklappt.

Ich konnte dann aber weder über den Pfad noch über netview auf die Sysvol bzw. Netlogon-Freigaben zugreifen. Die existierten nicht, was ich lokal auch überprüft habe. Die Verknüpfung zur Domäne unter SYSVOL war auch leer. Da wurde nichts repliziert. AD-Dienste mal neu gestartet, nichts.

Dcdiag und Eventlog zeigten Fehler.

6) DC wieder zurückgestuft. Einen Tag gewartet, Daten in DNS und AD gecheckt. Lediglich in den Site-Einstellungen war der DC noch vorhanden. Das Objekt mit ADSI-Edit entfernt. AD gecheckt, soweit sauber.

Schritt 5) noch einmal wiederholt, um sicher zu stellen, dass der DC diesmal sauber installiert wird. Keine Fehler bei der Installation usw.

Aber das gleiche Problem. SYSVOL und NETLOGON fehlen.

DCDIAG ist als Datei angehängt. DC3 ist der neue 2012R. DC1 und DC2 sind die 2008R2 er.

dcdiag.txt

marcx2 · 19. Mai 2014

Joa, steht ja eigentlich fast im Log :)

Ereigniszeichenfolge: Der DFS-Replikationsdienst beendet die Kommunikation mit Partner DC3 fr Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelm„áig versuchen, die Verbindung wiederherzustellen. Weitere Informationen: Fehler: 9033 (Die Anforderung wurde durch Herunterfahren abgebrochen.) Verbindungs-ID: 8E28E017-F074-4DD3-BF44-9C964DADE699 Replikationsgruppen-ID: F0AD5C8B-CBC2-4D30-913D-81CBA5AB349A Fehler. Ereignis-ID: 0xC000138A Erstellungszeitpunkt: 05/19/2014 13:16:25 Ereigniszeichenfolge: Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "DC3" fr Replikationsgruppe "Domain System Volume". Partner-DNS-Adresse: DC3.Domäne1.local Optionale Daten, falls verfgbar: Partner-WINS-Adresse: DC3 Partner-IP-Adresse: IP_DC3 Der Dienst versucht regelm„áig, die Verbindung erneut herzustellen. Weitere Informationen: Fehler: 1753 (In der Endpunktzuordnung sind keine weiteren Endpunkte verfgbar.) Verbindungs-ID: 8E28E017-F074-4DD3-BF44-9C964DADE699 Replikationsgruppen-ID: F0AD5C8B-CBC2-4D30-913D-81CBA5AB349A Fehler. Ereignis-ID: 0xC0001204 Erstellungszeitpunkt: 05/19/2014 13:16:25 Ereigniszeichenfolge: Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und wartet darauf, die erste Replikation auszufhren. Der replizierte Ordner bleibt im ersten Synchronisierungsstatus, bis er mit seinem Partner DC3.Domäne1.local repliziert wurde. Wenn der Server zu einem Dom„nencontroller heraufgestuft wurde, fhrt der Dom„nencontroller keine Ankndigung durch und dient als Dom„nencontroller, bis dieses Problem behoben wurde. Dies kann darauf zurckzufhren sein, dass der angegebene Partner sich selbst in einem ersten Synchronisierungsstatus befindet. Eine weitere m”gliche Ursache ist, dass auf diesem Server oder beim Synchronisierungspartner Zugriffsverletzungen aufgetreten sind. Wenn dieses Ereignis bei der Migration von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist, werden die Žnderungen nicht nach auáen repliziert, bis dieses Problem behoben wurde. Dies kann dazu fhren, dass der SYSVOL-Ordner auf diesem Server nicht mehr mit anderen Dom„nencontrollern synchron ist. Weitere Informationen: Name des replizierten Ordners: SYSVOL Share ID des replizierten Ordners: 60AFD937-1AEB-499B-8511-25A0F7B83D0F Replikationsgruppenname: Domain System Volume Replikationsgruppen-ID: 8E28E017-F074-4DD3-BF44-9C964DADE699 Mitglieds-ID: 5D055C89-C223-45FF-86CF-BC25A4FC431D Schreibgeschtzt: 0 ......................... Der Test DFSREvent fr DC2 ist fehlgeschlagen. Starting test: SysVolCheck

und

......................... DC3 hat den Test CutoffServers bestanden. Starting test: FrsEvent * Der Ereignisprotokollierungstest fr den Dateireplikationsdienst šberspringt den Test, da auf dem Server DFSR ausgefhrt wird. ......................... DC3 hat den Test FrsEvent bestanden. Starting test: DFSREvent The DFS Replication Event Log. Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge haben. Fehler. Ereignis-ID: 0xC00004B2 Erstellungszeitpunkt: 05/19/2014 10:24:28 Ereigniszeichenfolge: Der DFS-Replikationsdienst konnte keine Verbindung mit dem Dom„nencontroller "" zum Zugriff auf die Konfigurationsinformationen herstellen. Die Replikation wurde beendet. Der Dienst wiederholt den Vorgang beim n„chsten Konfigurationsabfragezyklus, der in 60 Minuten elocalritt. Dieses Ereignis kann durch TCP/IP-Verbindungs-, Firewall-, Active Directory-Dom„nendienste- oder DNS-Probleme verursacht werden. Weitere Informationen: Fehler: 1355 (Die angegebene Dom„ne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.) Warnung. Ereignis-ID: 0x80001780 Erstellungszeitpunkt: 05/19/2014 10:38:44 Ereigniszeichenfolge: Der DFS-Replikationsdienst konnte die Konfiguration in den Active Directory-Dom„nendiensten nicht aktualisieren. Der Dienst wiederholt diesen Vorgang in regelm„áigen Abst„nden. Weitere Informationen: Objektkategorie: msDFSR-LocalSettings Objekt-DN: CN=DFSR-LocalSettings,CN=DC3,OU=Domain Controllers,DC=Domäne1,DC=local Fehler: 2 (Das System kann die angegebene Datei nicht finden.) Dom„nencontroller: DC1.Domäne1.local Abrufzyklus: 60 Warnung. Ereignis-ID: 0x80001A94 Erstellungszeitpunkt: 05/19/2014 10:38:44 Ereigniszeichenfolge: Der DFS-Replikationsdienst hat erkannt, dass fr Replikationsgruppe "Domain System Volume" keine Verbindungen konfiguriert sind. Fr diese Replikationsgruppe werden keine Daten repliziert. Weitere Informationen: Replikationsgruppen-ID: F0AD5C8B-CBC2-4D30-913D-81CBA5AB349A Mitglieds-ID: 0AE9BED3-EAF9-44EA-AC0F-BA019A2A996F Warnung. Ereignis-ID: 0x80001906 Erstellungszeitpunkt: 05/19/2014 10:38:44 Ereigniszeichenfolge: Der DFS-Replikationsdienst hat erkannt, dass der lokale Pfad eines replizierten Ordners (domain) in der Dienstdatenbank nicht mit dem neu konfigurierten lokalen Pfad (C:\Windows\SYSVOL\domain) des replizierten Ordners bereinstimmt. Der Dienst repliziert den neuen Pfad, und der alte replizierte Ordnerpfad in der Datenbank wird nicht mehr weiter als replizierter Ordner nachverfolgt. Dieses Ereignis wird erwartet, wenn der lokale Pfad des replizierten Ordners ge„ndert wurde. Weitere Informationen: Name des replizierten Ordners: SYSVOL Share ID des replizierten Ordners: 60AFD937-1AEB-499B-8511-25A0F7B83D0F Replikationsgruppenname: Domain System Volume Replikationsgruppen-ID: F0AD5C8B-CBC2-4D30-913D-81CBA5AB349A Mitglieds-ID: 0AE9BED3-EAF9-44EA-AC0F-BA019A2A996F Warnung. Ereignis-ID: 0x80001206 Erstellungszeitpunkt: 05/19/2014 10:38:45 Ereigniszeichenfolge: Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und wartet darauf, die erste Replikation auszufhren. Der replizierte Ordner bleibt im ersten Synchronisierungsstatus, bis er mit seinem Partner DC1.Domäne1.local repliziert wurde. Wenn der Server zu einem Dom„nencontroller heraufgestuft wurde, fhrt der Dom„nencontroller keine Ankndigung durch und dient als Dom„nencontroller, bis dieses Problem behoben wurde. Dies kann darauf zurckzufhren sein, dass der angegebene Partner sich selbst in einem ersten Synchronisierungsstatus befindet. Eine weitere m”gliche Ursache ist, dass auf diesem Server oder beim Synchronisierungspartner Zugriffsverletzungen aufgetreten sind. Wenn dieses Ereignis bei der Migration von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist, werden die Žnderungen nicht nach auáen repliziert, bis dieses Problem behoben wurde. Dies kann dazu fhren, dass der SYSVOL-Ordner auf diesem Server nicht mehr mit anderen Dom„nencontrollern synchron ist. Weitere Informationen: Name des replizierten Ordners: SYSVOL Share ID des replizierten Ordners: 60AFD937-1AEB-499B-8511-25A0F7B83D0F Replikationsgruppenname: Domain System Volume Replikationsgruppen-ID: F0AD5C8B-CBC2-4D30-913D-81CBA5AB349A Mitglieds-ID: 0AE9BED3-EAF9-44EA-AC0F-BA019A2A996F Schreibgeschtzt: 0 ......................... Der Test DFSREvent fr DC3 ist fehlgeschlagen. Starting test: SysVolCheck * Der SYSVOL-Bereitschaftstest fr den Dateireplikationsdienst Der SYSVOL-Status konnte von der Registrierungssuche nicht ermittelt werden. Zurckgegebener Fehler: 0x0 "Der Vorgang wurde erfolgreich beendet.". Lesen Sie im FRS-Ereignisprotokoll nach, ob das SYSVOL erfolgreich freigegeben wurde. ......................... DC3 hat den Test SysVolCheck bestanden

bearbeitet 19. Mai 2014 von marcx2

xhutzelx · 21. Mai 2014

Hallo Marc. Danke für die Antwort. Das Log kannte ich ja schon bereits selbst. Für mich deutet es teilweise darauf hin, dass die Probleme etwas mit der Änderung des Funktionslevels auf 2008R2 zu tun haben könnten. "Wenn dieses Ereignis bei der Migration von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist, werden die Änderungen nicht nach außen repliziert, bis dieses Problem behoben wurde". Zum zweiten finden sich im Eventlog die Events 13575, wie auch 1084 und 2108, wobei sich 2108 auf die Konsistenz der AD-Datenbank bezieht. Die Frage ist, was für Maßnahmen kann man hier ergreifen. Ich möchte nicht unbedingt eine Offline Defragmentierung des AD durchführen. Die wäre aber nötig, geht man davon aus, dass die Datenbank inkonsistent ist (Event 2108).

http://technet.microsoft.com/en-us/library/dd641052%28v=ws.10%29.aspx . Was die Migration von FRS auf DFS-Replikation angeht, ist ja eigentlich schon alles gelaufen. Auf allen DCs sind die FRS-Dienste deaktiviert. Starten kann man die auch nicht mehr. Das FRS to DFS-Migration Tool dürfte ja wohl auch nichts mehr bringen. Kann mir nicht vorstellen, dass man damit im Nachhinein noch etwas gerade ziehen kann.

bearbeitet 21. Mai 2014 von xhutzelx

xhutzelx · 21. Mai 2014

Was könnte man ggf. noch überprüfen? Da ADPREP beim aufsetzen eines Windows 2012 R2 basierten Domänencontrollers automatisch ausgeführt wird bleibt einem da nicht viel. Aber Kontrolle ist vielleicht manchmal besser. Hierzu mit ADSIEdit arbeiten:

CN=Configuration. Rechtsklick und Eigenschaften von CN=ActiveDirectoryUpdate. Das Attribut "revision" sollte für 2008 R2 auf 15 stehen.

CN=Schema. Rechtsklick darauf und dann auf Eigenschaften. Das Attribut "objectVersion" sollte auf 69 stehen.

Den folgenden Artikel verstehe ich nicht wirklich http://support.microsoft.com/kb/2737129. Aber man kann gpprep einfach nochmal auf dem Infrastrukturmaster ausführen. Man erhält in der Regel die Meldung "Die domänenweiten Informationen wurden bereits aktualisiert".

So komme ich langsam zu dem Schluss, den 2012 R2 DC herabzustufen. Vielleicht sogar AD und DNS entfernen und aus der Domäne nehmen.

Danach kommt dann die Offline Defragmentierung und Integritätsprüfung der AD-Datenbank.

http://support.microsoft.com/kb/258062

http://www.tecchannel.de/server/windows/2040204/active_directory_sichern_wiederherstellen_und_warten/index5.html

http://technet.microsoft.com/de-de/library/cc794920%28v=ws.10%29.aspx

Ich werde das bald durchführen und das Ergebnis dann mitteilen.