Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
kosta88

Thema DC - Fortsetzung, Troubleshooting

Empfohlene Beiträge

Hallo,

 

ich denke es ist besser zum Troubleshooting ein neues Thema zu eröffnen.

Es ist die Fortsetzung dieses Threads: http://www.mcseboard.de/topic/210248-thema-dc/

 

Ausgangssituation is hoffentlich zT. bekannt:

Zwei Laptops tragen DCs (ZAUBERKISTE, LAPTOPDC2), neuer 2012R2 (S02) wurde installiert.

FSMO Rollen fehlen (alter Server, offline).

 

Nun, was ist bisher geschehen:

FSMO Rollen übernommen - OK, netdom auf beiden Rechnern OK.

SRV-DC1 (alter DC) aus DNS bereinigt, und sonst wo noch gefunden (habe ich nicht protokolliert).

Replikation geprüft (AD Replication Status):

LAPTOPDC2 failed, kann nicht kontaktiert werden - finde keine Ursache.

Jedoch werden die Daten scheinbar repliziert (zB. Benutzer-Erstellung auf ZAUBERKISTE wird auf LAPTOPDC2 repliziert)

 

dcdiags:

 

ZAUBERKISTE:

Verzeichnisserverdiagnose


Anfangssetup wird ausgefhrt:

   Der Homeserver wird gesucht...

   Homeserver = Zauberkiste

   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\ZAUBERKISTE

      Starting test: Connectivity

         ......................... ZAUBERKISTE hat den Test Connectivity

         bestanden.



Prim„rtests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\ZAUBERKISTE

      Starting test: Advertising

         Achtung: Von ZAUBERKISTE werden keine Ankndigungen als Zeitserver

         vorgenommen.

         ......................... Der Test Advertising fr ZAUBERKISTE ist

         fehlgeschlagen.

      Starting test: FrsEvent

         ......................... ZAUBERKISTE hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         ......................... ZAUBERKISTE hat den Test DFSREvent

         bestanden.

      Starting test: SysVolCheck

         ......................... ZAUBERKISTE hat den Test SysVolCheck

         bestanden.

      Starting test: KccEvent

         ......................... ZAUBERKISTE hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders

         ......................... ZAUBERKISTE hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount

         ......................... ZAUBERKISTE hat den Test MachineAccount

         bestanden.

      Starting test: NCSecDesc

         ......................... ZAUBERKISTE hat den Test NCSecDesc

         bestanden.

      Starting test: NetLogons

         ......................... ZAUBERKISTE hat den Test NetLogons

         bestanden.

      Starting test: ObjectsReplicated

         ......................... ZAUBERKISTE hat den Test ObjectsReplicated

         bestanden.

      Starting test: Replications

         ......................... ZAUBERKISTE hat den Test Replications

         bestanden.

      Starting test: RidManager

         ......................... ZAUBERKISTE hat den Test RidManager

         bestanden.

      Starting test: Services

         ......................... ZAUBERKISTE hat den Test Services bestanden.

      Starting test: SystemLog

         Fehler. Ereignis-ID: 0x00002720

            Erstellungszeitpunkt: 05/12/2017   12:54:38

            Ereigniszeichenfolge:

            Durch die Berechtigungseinstellungen fr "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITŽT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" fr die COM-Serveranwendung mit der CLSID


         ......................... Der Test SystemLog fr ZAUBERKISTE ist

         fehlgeschlagen.

      Starting test: VerifyReferences

         ......................... ZAUBERKISTE hat den Test VerifyReferences

         bestanden.

   
   
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

   
   Partitionstests werden ausgefhrt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: datev

      Starting test: CheckSDRefDom

         ......................... datev hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... datev hat den Test CrossRefValidation

         bestanden.

   
   Unternehmenstests werden ausgefhrt auf: datev.local

      Starting test: LocatorCheck

         Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355

         Es wurde kein Zeitserver gefunden.

         Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht

         verfgbar.

         Achtung: Fehler beim Aufrufen von

         DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355

         Es wurde kein geeigneter Zeitserver gefunden.

         ......................... Der Test LocatorCheck fr datev.local ist

         fehlgeschlagen.

      Starting test: Intersite

         ......................... datev.local hat den Test Intersite

         bestanden.

 

LAPTOPDC2:

 

Verzeichnisserverdiagnose


Anfangssetup wird ausgefhrt:

   Der Homeserver wird gesucht...

   Homeserver = laptopdc2

   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\LAPTOPDC2

      Starting test: Connectivity

         ......................... LAPTOPDC2 hat den Test Connectivity

         bestanden.



Prim„rtests werden ausgefhrt.

   
   Server wird getestet: Default-First-Site-Name\LAPTOPDC2

      Starting test: Advertising

         Achtung: Von LAPTOPDC2 werden keine Ankndigungen als Zeitserver

         vorgenommen.

         ......................... Der Test Advertising fr LAPTOPDC2 ist

         fehlgeschlagen.

      Starting test: FrsEvent

         ......................... LAPTOPDC2 hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         ......................... LAPTOPDC2 hat den Test DFSREvent bestanden.

      Starting test: SysVolCheck

         [LAPTOPDC2] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist

         der Fehler 64 aufgetreten,

         Der angegebene Netzwerkname ist nicht mehr verfgbar..

         ......................... Der Test SysVolCheck fr LAPTOPDC2 ist

         fehlgeschlagen.

      Starting test: KccEvent

         Fehler. Ereignis-ID: 0x000001D3

            Erstellungszeitpunkt: 05/12/2017   13:50:24

            Ereigniszeichenfolge:

            NTDS (480) NTDSA: Datenbank C:\Windows\NTDS\ntds.dit: Index DRA_USN_index von Tabelle datatable ist besch„digt (0).

         Warnung. Ereignis-ID: 0x80000495

            Erstellungszeitpunkt: 05/12/2017   13:50:24

            Ereigniszeichenfolge:

            Internal event: Active Directory Domain Services has encountered the following exception and associated parameters.


         Fehler. Ereignis-ID: 0xC000043C

            Erstellungszeitpunkt: 05/12/2017   13:50:24

            Ereigniszeichenfolge:

            Internal event: Active Directory Domain Services could not update the following object with changes received from the following source directory service. This is because an error occurred during the application of the changes to Active Directory Domain Services on the directory service.


         Fehler. Ereignis-ID: 0xC000083C

            Erstellungszeitpunkt: 05/12/2017   13:50:24

            Ereigniszeichenfolge:

            Dieses Ereignis enth„lt Reparaturvorg„nge fr das Ereignis "1084", das zuvor protokolliert wurde. Diese Meldung deutet auf ein bestimmtes Problem in Bezug auf die Konsistenz der Active Directory-Dom„nendienste-Datenbank fr dieses Replikationsziel hin. Bei der šbernahme von Replikations„nderungen fr das folgende Objekt ist ein Datenbankfehler aufgetreten. Die Datenbank enth„lt nicht erwartete Inhalte, die verhindern, dass die Žnderung durchgefhrt wird.


         ......................... Der Test KccEvent fr LAPTOPDC2 ist

         fehlgeschlagen.

      Starting test: KnowsOfRoleHolders

         ......................... LAPTOPDC2 hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount

         Pipe konnte nicht mit [LAPTOPDC2] ge”ffnet werden: Fehler: 64:

         Der angegebene Netzwerkname ist nicht mehr verfgbar.

         NetBIOS-Dom„nenname konnte nicht abgerufen werden.

         Fehler: Test fr HOST-SPN nicht m”glich.

         Fehler: Test fr HOST-SPN nicht m”glich.

         ......................... LAPTOPDC2 hat den Test MachineAccount

         bestanden.

      Starting test: NCSecDesc

         ......................... LAPTOPDC2 hat den Test NCSecDesc bestanden.

      Starting test: NetLogons

         [LAPTOPDC2] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist

         der Fehler 64 aufgetreten,

         Der angegebene Netzwerkname ist nicht mehr verfgbar..

         ......................... Der Test NetLogons fr LAPTOPDC2 ist

         fehlgeschlagen.

      Starting test: ObjectsReplicated

         ......................... LAPTOPDC2 hat den Test ObjectsReplicated

         bestanden.

      Starting test: Replications

         [Replications Check,LAPTOPDC2] Bei einer krzlich ausgefhrten

         Replikation ist ein Fehler aufgetreten:

            Von ZAUBERKISTE nach LAPTOPDC2

            Namenskontext: DC=DomainDnsZones,DC=datev,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (8451):

            Der Replikationsvorgang ist auf einen Datenbankfehler gestoáen.

            Auftreten des Fehlers: 2017-05-12 13:50:24.

            Letzter erfolgreicher Vorgang: 2017-05-12 12:56:23.

            Seit dem letzten erfolgreichen Vorgang sind 12 Fehler aufgetreten.

            Die Replikation kann aufgrund eines schwerwiegenden Fehlers nicht

            fortgesetzt werden.

            Ausfhrlichere Informationen finden Sie im Fehlerprotokoll.

            Ist ein bestimmtes Objekt angegeben, muss dieses Objekt

            m”glicherweise

            manuell ge„ndert oder gel”scht werden.

            Wenden Sie sich an Microsoft, wenn sich das Problem nicht beheben

            l„sst.

         ......................... Der Test Replications fr LAPTOPDC2 ist

         fehlgeschlagen.

      Starting test: RidManager

         ......................... LAPTOPDC2 hat den Test RidManager bestanden.

      Starting test: Services

         Die Remote-IPC fr [laptopdc2.datev.local] konnte nicht ge”ffnet

         werden: Fehler 0x40

         "Der angegebene Netzwerkname ist nicht mehr verfgbar."

         ......................... Der Test Services fr LAPTOPDC2 ist

         fehlgeschlagen.

      Starting test: SystemLog

         ......................... LAPTOPDC2 hat den Test SystemLog bestanden.

      Starting test: VerifyReferences

         ......................... LAPTOPDC2 hat den Test VerifyReferences

         bestanden.

   
   
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

   
   Partitionstests werden ausgefhrt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: datev

      Starting test: CheckSDRefDom

         ......................... datev hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... datev hat den Test CrossRefValidation

         bestanden.

   
   Unternehmenstests werden ausgefhrt auf: datev.local

      Starting test: LocatorCheck

         Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355

         Es wurde kein Zeitserver gefunden.

         Der Server mit der Rolle fr den prim„ren Dom„nencontroller ist nicht

         verfgbar.

         Achtung: Fehler beim Aufrufen von

         DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355

         Es wurde kein geeigneter Zeitserver gefunden.

         ......................... Der Test LocatorCheck fr datev.local ist

         fehlgeschlagen.

      Starting test: Intersite

         ......................... datev.local hat den Test Intersite

         bestanden.

 

Wo ich gerade anstehe ist, den neuen DC heraufzustufen.

 

Der neue DC, S02, wurde in die Domäne gesetzt, soweit alles OK.

Jedoch wenn ich das heraufstufen versuche, kommt folgende Fehlermeldung:

post-68428-0-81387700-1494589764_thumb.jpg

 

Was verpasse ich denn bitte?


post-68428-0-49882500-1494591485_thumb.jpg

 

Das kommt auf beiden Servern.


Und das auch, gefunden:

post-68428-0-03515100-1494592407_thumb.jpg

 

Das sollte ja funktionieren, oder?

 

Wenn man aber die Replikation über NTDS Settings aufruft, keine Fehler.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

LAPTOPDC2 hat offenkundig ein Datenbankproblem. Faktisch ist er also im Eimer. Ist das zufällig der, auf den du die FSMO-Rollen übertragen hast?

 

Wenn ja: Übertragen der Rollen auf den anderen, gucken, ob es dann geht mit dem neuen DC.

Wenn nein oder wenn es dann nicht geht: Dann ist das kein Fall mehr für ein Forum. Dienstleister suchen.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi Nils,

 

Nein, die Rollen wurden auf die ZAUBERKISTE übertragen.

Aber ironisch... habe jetzt den S02 geschafft hochzustufen. Dafür habe ich einen weiteren Benutzer erstellt, und mit diesem ginge es dann.

S02 steht und repliziert.

Die Replikation auf S02 geht von der ZAUBERKISTE, das scheint i.O. zu sein.

 

Am Ende des Tages, wenn wirklich alles kaputt, dann kein Dienstleister, sondern baue es alles neu. Sprich Rechner aus der Domäne, alle DCs kübeln und neu. Wäre eh keine schlechte Idee, nachdem die bestehende Server (Installationen) alt sind. Würde mich halt paar Tage AZ kosten, aber mind. Chef weiß bescheid und das wäre OK für ihm...

 

Aber schauma mal...


Das nächste Problem:

post-68428-0-47819800-1494594770_thumb.jpg

bearbeitet von kosta88

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin

 

Mit dcdiag /q werden nur die Fehler angezeigt.

 

Mit dcdiag /q > diagnose.txt gehen Fehlermeldungen in eine Textdatei. Diese kann nachbearbeitet werden, dann ist das hier auch lesbar.

 

 

Nun, wenn Du einen Neubau machen kannst, dann mal los.

 

Viel Erfolg :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich würde gerne Neubau vermeiden, wenn es nur geht. Habe wirklich genug andere Sachen, und niemand macht sie für mich... :rolleyes:

 

S02 scheint stabil zu sein und habe gerade auch meinen Rechner darüber laufen, und DHCP auch umgestellt. Mal sehen ob am Montag alle schreiend aus dem Haus laufen :shock: , oder ist Ruhe im Haus :D

 

Nur LAPTOPDC2 macht Troubles, und ihm kann ich zur Zeit nicht herabstufen. Ich glaube mir wird nichts anderes übrig bleiben, ihm auch einfach abzuschalten und säubern.

Übrigens, aus der Ereignisanzeige des Laptops:

NTDS (480) NTDSA: Datenbank C:\Windows\NTDS\ntds.dit: Index DRA_USN_index von Tabelle datatable ist beschädigt (0).

 

Ob WinRM hier die Ursache oder die Datenbank, k.A., aber ich kann auf jeden Fall die ADDS-Dienste nicht entfernen, um herabzustufen. Oder geht das irgendwie anders?

bearbeitet von kosta88

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Zum Entfernen eines widerspenstiegen DC aus der Domäne ist wohl NTDSUTIL das Tool der Wahl. Es können damit die Relikte eines verlorenen DC entfernt werden.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Das wollte ich eigentlich genau fragen. Ich möchte ihm loswerden und hoffe dass damit die Sache sauber wird!

 

UPDATE:

Schaut gut aus. AD Replication Status Tool ist komplett sauber, dcdiag ist auch OK. Auch dabei den RZ DC hochzustufen, auch keine Fehler wie oben beim S02... Server sind gesichert. Phuh.

Ich würd sagen die Kurve richtig gekratzt. :)

 

Interessant dabei dass die AD Datenbank auf LAPTOPDC2 defekt war. So viel darüber dass es egal ist ob wir noch ein Monat warten oder nicht...

 

Bleibt noch das Thema DHCP. Nächste Woche. Jetzt kann ich ruhig schlafen ;-)

bearbeitet von kosta88

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Aber zwei Sachen verstehe ich nicht.

 

Auf der ZAUBERKISTE, wenn ich cmd starte und nslookup eingebe, kommt FQDN + IP. Wenn ich aber in DNS mit Rechtsklick nslookup starte, steht unknown und IPv6 link local (fe80).

Jedoch auf S02, in cmd steht localhost und ::1 und in DNS Rechtsklick und die IPv6 link local.

 

Reverse lookup sind beide (neu)erstellt und Einträge für die Server vorhanden.

 

Und dann noch dazu dass die Reverse Lookup Zone nicht repliziert. Ist das normal? Werden die PTR Einträge nur dann erstellt wenn DNS ein A-Record erstellt?


Dann wünsche ich dir ein schöners Wochenende und ruhigen Schlaf.

Danke, das hatte ich :)

 

UPDATE:

Ein Teil gelöst: wenn man die IPv6 Einstellungen in der Netzwerkkarte alle auf DHCP umstellt, kommt bei der CMD Abfrage die IPv4 Adresse.

 

Jedoch noch immer offen die Frage:

Warum in DNS-Konsole, Rechtsklick auf Server, nslookup starten, zeigt unknown und link-local?

Die Frage ist rein nur interessenshalber...

bearbeitet von kosta88

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

Die Angabe besagt nur, dass der Nähe des DNS-Servers nicht rückwärts aufgelöst werden kann. Kein Fehler.

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke.

 

Und die Replikation der RLZ sollte genauso wie die FLZ sein? Kann es sein dass hier Verzögerungen entstehen, bzw. kann man DNS irgendwie sofort replizieren?

bearbeitet von kosta88

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Eine RLZ ist nicht notwendig. Denn, welche Auflösung/Umsetzung wird benötigt in einer Windows Domäne? Doch Hostname zu IP. In der Empfehlung von MS wird für RLZ nur für grosse Unternehmen empfohlen, für kleine und mittlere die FLZ als ausreichend. Das Wieso wurde allerdings nicht erläutert. Oder ich habs nicht gefunden oder vergessen.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wir müssen für unsere Software immer zwingend eine RLZ anlegen, die wird benutzt. Auch RZ benötigt eigene Einträge, irgendwas in Verbindung mit Windows Update.

bearbeitet von kosta88

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×