Jump to content

AD Fehler wenn 2. Server down


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Liebe Spezialisten Kollegen

Ich habe zwei DCs (Windows 2016 Server) welche eine Gesamtstruktur home.local verwalten. Letztens habe ich um die IP zu ändern Server2 (s-h-02) heruntergefahren und dabei festgestellt das Server1 (s-h-01) eine Fehlermeldung bringt, wenn ich die Gruppenrichtlinien Editor starte:

-----

Es kann keine Verbindung zum angegebenen Domänencontroller hergestellt werden.
Dies betrifft folgende Domänen in der Konsole:

Domöne: home.local

Fehler: Die angegebene Domäne ist nicht vorhanden.

------

Sobald ich den 2. Server starte funktioniert alles wieder.

Nun eine Verständnisfrage.

Ich dachte, weil die beiden Server ständig die DB replizieren, sollte Server1 weiterhin funktionieren  wenn der 2. down ist???

Besten Dank.

Link zu diesem Kommentar

Moin

 

Ich schaue in die Ereignisprotokolle, führe DCDIAG aus.

 

Schaue die Parameter von DCDIAG /?, da gibt es einen der lässt nur Fehler ausgeben. Mit DCDIAG | clip geht die Ausgabe in die Zwischenablage.

 

Ist auf dem zuletzt hinzugefügten DC der Globale Katalog aktiviert?

 

Stimmt die DNS-Konfiguration auf beiden Geräten?

 

Im Web gibt es Artikel wie https://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pruefen/

 

 

bearbeitet von lefg
Link zu diesem Kommentar

Ja das stimmt, auf dem zuletzt hinzugefügten DC ist Globale Katalog aktiviert.

Ich hatte mal gelesen das man GC nur pro Standort aktivieren soll. Dachte aber nicht das es etwas aus macht. In diesem Fall schon? Ich werde auf dem letzten DC das deaktivieren sobald alles wieder funktioniert.

 

Du hast absolut Recht irgendetwas stimmt nicht gemäss dcdiag:

 

dcdiag_von_s-h-01

         Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie die Firewalleinstellungen.

         ......................... Der Test Connectivity fr S-H-02 ist fehlgeschlagen.

         Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse

         vorhanden. Fehler bei der SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge haben.
         ......................... Der Test DFSREvent fr S-H-01 ist fehlgeschlagen.

         [S-H-02] DsBindWithSpnEx()-Fehler 1722,

         Der RPC-Server ist nicht verfgbar..
         Achtung: S-H-02 ist Domain Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.

         Achtung: S-H-02 ist Domain Owner, reagiert jedoch nicht auf die LDAP-Bindung.

         Achtung: S-H-02 ist PDC Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.

         Achtung: S-H-02 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung.

         ......................... Der Test KnowsOfRoleHolders fr S-H-01 ist fehlgeschlagen.

         [S-H-01] Die Anmeldeinformationen berechtigen nicht zum Ausfhren dieses Vorgangs.

         Das fr diesen Test verwendete Konto muss fr die Dom„ne dieses

         Computers ber Netwerkanmelderechte verfgen.

         ......................... Der Test NetLogons fr S-H-01 ist fehlgeschlagen.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: DC=ForestDnsZones,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1256):

            Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

            

            Auftreten des Fehlers: 2018-12-16 14:55:09.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: CN=Schema,CN=Configuration,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1722):

            Der RPC-Server ist nicht verfgbar.

            Auftreten des Fehlers: 2018-12-16 14:55:13.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

            Die Quelle ist weiterhin nicht verfgbar. šberprfen Sie den Computer.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: CN=Configuration,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1722):

            Der RPC-Server ist nicht verfgbar.

            Auftreten des Fehlers: 2018-12-16 14:55:11.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

            Die Quelle ist weiterhin nicht verfgbar. šberprfen Sie den Computer.

         ......................... Der Test Replications fr S-H-01 ist fehlgeschlagen.

            Der Dienst NTDS auf S-H-01 konnte nicht ge”ffnet werden. Fehler: 0x5 "Zugriff verweigert"

         ......................... Der Test Services fr S-H-01 ist fehlgeschlagen.

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:03:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:03:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:03:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:03:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:13:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:13:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:13:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:13:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         ......................... Der Test SystemLog fr S-H-01 ist fehlgeschlagen.

         ......................... Der Test CheckSDRefDom fr ForestDnsZones ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr ForestDnsZones ist fehlgeschlagen.

         ......................... Der Test CheckSDRefDom fr DomainDnsZones ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr DomainDnsZones ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr Schema ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr Configuration ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr home ist fehlgeschlagen.

 

dcdiag_von_s-h-02

         Das Ereignisprotokoll DFS Replication auf dem Server s-h-01.home.local konnte nicht abgefragt werden. Fehler:

         0x6ba "Der RPC-Server ist nicht verfgbar."

         ......................... Der Test DFSREvent fr S-H-01 ist fehlgeschlagen.

         Das Ereignisprotokoll Directory Service auf dem Server s-h-01.home.local konnte nicht abgefragt werden.

         Fehler: 0x6ba "Der RPC-Server ist nicht verfgbar."

         ......................... Der Test KccEvent fr S-H-01 ist fehlgeschlagen.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: DC=ForestDnsZones,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1256):

            Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

            

            Auftreten des Fehlers: 2018-12-16 14:55:09.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: CN=Schema,CN=Configuration,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1722):

            Der RPC-Server ist nicht verfgbar.

            Auftreten des Fehlers: 2018-12-16 14:55:13.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

            Die Quelle S-H-02 reagiert jetzt.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: CN=Configuration,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1722):

            Der RPC-Server ist nicht verfgbar.

            Auftreten des Fehlers: 2018-12-16 14:55:11.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

            Die Quelle S-H-02 reagiert jetzt.

         ......................... Der Test Replications fr S-H-01 ist fehlgeschlagen.

         Das Ereignisprotokoll System auf dem Server s-h-01.home.local konnte nicht abgefragt werden. Fehler: 0x6ba

         "Der RPC-Server ist nicht verfgbar."

         ......................... Der Test SystemLog fr S-H-01 ist fehlgeschlagen.

         [S-H-02] Die Anmeldeinformationen berechtigen nicht zum Ausfhren dieses Vorgangs.

         Das fr diesen Test verwendete Konto muss fr die Dom„ne dieses

         Computers ber Netwerkanmelderechte verfgen.

         ......................... Der Test NetLogons fr S-H-02 ist fehlgeschlagen.

         [Replikationsberprfung, S-H-02] Fehler bei DsReplicaGetInfo(PENDING_OPS, NULL): 0x2105

         "Der Replikationszugriff wurde verweigert."

         ......................... Der Test Replications fr S-H-02 ist fehlgeschlagen.

            Der Dienst NTDS auf S-H-02 konnte nicht ge”ffnet werden. Fehler: 0x5 "Zugriff verweigert"

         ......................... Der Test Services fr S-H-02 ist fehlgeschlagen.

 

Beide Server sind jedoch mit dem Hostnamen erreichbar.

nslookup auf beiden geht auch.

verstehe ich nicht

Link zu diesem Kommentar

NerbertFe, danke für die Info. Ich dachte das der erste DC diese Rolle übernimmt. Aber wie du vermutet hast ist der Betriebsmaster für PDC der s-h-02. Deswegen kann ich keine GPO auf s-h-01 öffnen.

Ich werde das ändern Betriebsmaster PDC s-h-01.

Seit ich die IPs der Server geändert habe bekomme ich immer folgenden Fehler:

"Der DNS-Server hat einen kritischen Active Directory-Fehler ermittelt"

Ich verstehe nicht wieso. Die beiden Server können sich pingen, Hostnamen werden korrekt aufgelöst.

IP geändert

von
s-h-01.home.local
192.168.1.41/24 auf 144.200.100.21/24

und von
s-h-02.home.local
192.168.1.42/24 auf 144.200.100.22./24

und anschliessend auf dem DNS ReverslookupZone erstellt für 144.200.100

bearbeitet von hoju
Link zu diesem Kommentar
vor 3 Stunden schrieb hoju:

Ja das stimmt, auf dem zuletzt hinzugefügten DC ist Globale Katalog aktiviert.

Ich hatte mal gelesen das man GC nur pro Standort aktivieren soll. Dachte aber nicht das es etwas aus macht. In diesem Fall schon? Ich werde auf dem letzten DC das deaktivieren sobald alles wieder funktioniert.

 

Der GC soll auf beiden DC aktiviert sein.

Link zu diesem Kommentar
vor 1 Minute schrieb hoju:

Ich bin am üben, deswegen die öffentlichen IPs. Haben den Hostanteil verkleinert.

Es spricht doch nichts dagegen? Dadurch kommt man ja nicht einfacher in mein Netzwerk? Die Rechner liegen ja hinter der Firewall.

Es ist nicht die Realität, deshalb spricht etwas dagegen. Und in der Realität ändert man auch nicht einfach so die IP eines DC und den IP Bereich. Sowas plant man und liest sich Wissen an.

 

Wenn Du z.b. eine Website aufrufen willst, die zufällig die externe IP hat, kann sie dein DC dir nicht liefern.

Link zu diesem Kommentar

Ich habe versucht mir Wissen anzueignen. Habe etwa 6h recherchiert.

Dann habe ich mit ein Visio ein Netzwerkplan erstellt vorher nachher und gemäss Foren und Videos (https://www.youtube.com/watch?v=0V79LzzOXHM) checkliste erstellt.

Natürlich gab es gewisse die sagten „Never change a running system“.

Andere meinten jedoch das nichts dagegen spricht die IP zu ändern.

Ihr habt Recht, ich werde alles rückgängig machen und hoffen das alles wieder funktioniert.

Link zu diesem Kommentar
vor 1 Stunde schrieb hoju:

Ich habe versucht mir Wissen anzueignen. Habe etwa 6h recherchiert.

 

Dann habe ich mit ein Visio ein Netzwerkplan erstellt vorher nachher und gemäss Foren und Videos (https://www.youtube.com/watch?v=0V79LzzOXHM) checkliste erstellt.

 

Natürlich gab es gewisse die sagten „Never change a running system“.

 

Andere meinten jedoch das nichts dagegen spricht die IP zu ändern.

 

Ihr habt Recht, ich werde alles rückgängig machen und hoffen das alles wieder funktioniert.

 

Wo genau hast Du denn recherchiert? Nur youtube Videos geschaut?

 

Und ja, man kann IP Bereiche und IP Adressen der DCs ändern, wenn man weiß was man tut ist das auch kein Problem. Aber dazu übst Du ja.

 

Wenn wieder alles läuft, fang einfach von vorne an. Aber nimm diesmal einen privaten Adressbereich. Vorher planen wo Du in welcher Reihenfolge die Adressen ändern musst/willst.

 

WINS hast Du sicher nicht mehr im Einsatz, aber für den Rest könnte der Artikel helfen: https://blogs.technet.microsoft.com/ramazancan/2007/01/31/windows-2000-ip-adresse-von-domain-controller-andern/

Link zu diesem Kommentar

Moin,

 

sechs Stunden Recherche sind zum Aufbau einer AD-Struktur ja nicht besonders viel. Insbesondere, wenn man sich auch gleich noch mit Spezialitäten wie Änderungen in der Infrastruktur beschäftigt. Nimm dir mehr Zeit, wenn du einen Lernerfolg haben willst. Und fang nicht gleich mit den großen Dingen an.

 

Die Fehlermeldungen, die du erhalten hast, sind in der Situation alle normal und erwartbar. Im Kern sagen sie alle nur aus, dass der eine DC nicht erreichbar ist (natürlich nicht, er ist ja auch aus). Sofern das AD ansonsten korrekt konfiguriert ist, würden Clients es nicht bemerken, wenn einer der DCs nicht da ist. Der Gruppenrichtlinien-Editor ist da ein Sonderfall, weil er von sich aus immer versucht, auf den PDC-Emulator zuzugreifen. Sagt man ihm, dass er einen anderen DC nehmen soll, dann kann er auch arbeiten. Die zitierten Fehlermeldungen deuten alle nicht auf ein grundlegendes Problem hin.

 

Das Ändern der IP-Adresse eines DCs erfordert in den meisten Umgebungen keine große Downtime und auch keinen Neustart. Trotzdem ist das natürlich eine Änderung, die man in einem produktiven Netzwerk nicht "mal eben" machen würde.

 

In der Regel ist jeder DC auch GC. Die FSMO-Rollen sind für den Normalbetrieb nahezu egal, man braucht sie nur in speziellen Situationen. Wichtig ist vor allem die korrekte DNS-Konfiguration.

 

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

[AD: Betriebsmaster-Ausfall – was tun? | faq-o-matic.net]
https://www.faq-o-matic.net/2010/09/09/ad-betriebsmaster-ausfall-was-tun/

 

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...