Jump to content

DC Ausfalltest funktioniert nicht


Recommended Posts

Hallo zusammen,

 

erstmal ja, mir ich für den Titel wirklich nichts besseres eingefallen, wenn jemand Vorschläge hat, gerne her damit ;-).

 

Zum eigentlichen Problem:

Wir haben in einer Infrastruktur 2 DCs (Beide Server 2019). Wenn beide Server online sind, funktioniert auch alles bestens und ich kann das AD von beiden Servern verwalten. Fahre ich einen DC herunter funktioniert das auch noch wunderbar, dass der andere DC das im Alleingang macht. Alles kein Problem. Allerdings funktioniert es anderherum nicht. Fahre ich den 1. DC herunter, während der Zweite läuft ist nach ca. 5 Minuten, oder nach einem Neustart des verbleibenden DCs (Wozu dieser dann auch knappe 10 Minuten braucht - normal ist ca. eine) Schicht im Schacht. Beim versuch die AD Verwaltung aufzurufen bekomme ich die Fehlermeldung:

 

Evpfg71.png.370c9619a351cbf87cd74419600048b6.png

 

Ist der andere DC wieder erreichbar, funktioniert wieder alles ohne Probleme.

 

Zur Vereinfachung kurz eine Übersicht, was klappt und was nicht:

Es gibt in dem Netz 2 DCs (DC01 und DC03; FMSO Rollen sind bei DC03).

DC01 online + DC03 online -> Alles ok

DC01 online + DC03 offline -> Alles ok

DC01 offline + DC03 online -> oben genanntes Fehlerbild

 

Verwunderlich ist nur, dass sämtliche Anzeigen für eine AD Replikation (in meinen Augen) gut aussehen. Sind beide DCs online, werden auch beide in der AD Konsole als online angezeigt. Auch der "fehlerhafte" DC03

Kkg5LXu.png.78b799009a395de77cfd0cd4de0f963c.png

 

 

Ebenso läuft ein "repadmin /syncall" ohne Probleme durch (auf beiden DCs).

 

Die Problematik hatten wir so 1:1 schon mit dem DC02. Damals haben wir noch eine "kaputte" Windows Installation im Verdacht, weswegen es nun den DC03 gibt.

 

Hat von euch jemand eine Idee?

 

Danke und Grüße!

Link to post

Fsmo sind egal. Interessanter ist DNS auf beiden dcs und nicht nee kreuz bei beiden in den Netzwerkeinstellungen? Welche Fehler stehen denn im eventlog der dcs? Interessant vor allem dfsr und Verzeichnisdienst.

vor 4 Minuten schrieb HeizungAuf5:

DC02. Damals haben wir noch eine "kaputte" Windows Installation im Verdacht, weswegen es nun den DC03 gibt.

So einen Verdacht hatte ich bei dem Problem noch nie. ;)

Link to post
vor 3 Minuten schrieb v-rtc:

Wie sind denn die FSMO Rollen verteilt?

 

vor 7 Minuten schrieb HeizungAuf5:

FMSO Rollen sind bei DC03

 

Schemamaster               DC03.DOMAIN.local
Domänennamen-Master        DC03.DOMAIN.local
PDC                         DC03.DOMAIN.local
RID-Pool-Manager            DC03.DOMAIN.local
Infrastrukturmaster       DC03.DOMAIN.local

 

 

vor 4 Minuten schrieb NorbertFe:

Interessanter ist DNS auf beiden dcs und nicht nee kreuz bei beiden in den Netzwerkeinstellungen?

Als DNS Server sind bei den beiden DCs jeweils als primärer Server sich selber (127.0.0.1) und als sekundärer DNS die IP des jeweils anderen DCs.

 

vor 5 Minuten schrieb NorbertFe:

Welche Fehler stehen denn im eventlog der dcs? Interessant vor allem dfsr und Verzeichnisdienst.

In den Logs zum DFSR finde ich rellativ häufig das Ereignis 5014, dass er das "Gegenüber" nicht erreichen kann. Ist ja aber logisch weil aus.

Der DFS-Replikationsdienst beendet die Kommunikation mit Partner DC01 für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen. 
 
Weitere Informationen: 
Fehler: 1722 (Der RPC-Server ist nicht verfügbar.) 
Verbindungs-ID: DF021ADE-C732-4ED0-AADE-6295CBA0FCAC 
Replikationsgruppen-ID: 6E32825A-2D30-437E-8F1E-491296DEE836

 

Ein paar Sekunden später habe ich das Ereignis 4612

Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und  wartet darauf, die erste Replikation auszuführen. Der replizierte Ordner bleibt  im ersten Synchronisierungsstatus, bis er mit seinem Partner DC01.DOMAIN.local repliziert  wurde. Wenn der Server zu einem Domänencontroller heraufgestuft wurde, führt der Domänencontroller keine Ankündigung durch und dient als  Domänencontroller, bis dieses Problem behoben wurde. Dies kann darauf  zurückzuführen sein, dass der angegebene Partner sich selbst in einem  ersten Synchronisierungsstatus befindet. Eine weitere mögliche Ursache  ist, dass auf diesem Server oder beim Synchronisierungspartner  Zugriffsverletzungen aufgetreten sind. Wenn dieses Ereignis bei der Migration  von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist, werden die Änderungen nicht nach außen repliziert, bis dieses  Problem behoben wurde. Dies kann dazu führen, dass der SYSVOL-Ordner auf diesem Server nicht mehr mit anderen Domänencontrollern synchron ist.  
  
Weitere Informationen:  
Name des replizierten Ordners: SYSVOL Share 
ID des replizierten Ordners: 7E67AD4E-520F-451B-8C69-BFE867F3DF0E 
Replikationsgruppenname: Domain System Volume 
Replikationsgruppen-ID: E499178F-DCF6-48D5-813B-054E84E3D4C7 
Mitglieds-ID: F0F7BCD8-CFE4-495D-B43A-42CE2D10807F 
Schreibgeschützt: 0

 

Danach gibt es noch das Ereignis 5008

Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "DC01" für Replikationsgruppe "Domain System Volume". Dieser Fehler kann auftreten, wenn der Host nicht erreichbar ist oder der DFS-Replikationsdienst nicht auf dem Server ausgeführt wird.  
 
Partner-DNS-Adresse: DC01.DOMAIN.local 
 
Optionale Daten, falls verfügbar: 
Partner-WINS-Adresse: DC01  
Partner-IP-Adresse: 192.168.15.10 
 
Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen. 
 
Weitere Informationen: 
Fehler: 1722 (Der RPC-Server ist nicht verfügbar.) 
Verbindungs-ID: E499178F-DCF6-48D5-813B-054E84E3D4C7 
Replikationsgruppen-ID: 6E32825A-2D30-437E-8F1E-491296DEE836

 

Für die Directory Services finde ich einen Fehler, dass der den globalen Katalog nicht finden kann (ID 1126)

Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. 
 
Zusätzliche Daten 
Fehlerwert:
1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. 
Interne ID:
320137b 
 
Benutzeraktion 
Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann.  Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden.

 

Mehr Gedanken mache ich mir hier um die Warnung 2092


Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. 
 
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. 
 
FSMO-Rolle: DC=DOMAIN,DC=local 
 
Benutzeraktion: 
 
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 
2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 
3. In dem Ausnahmefall, dass alle Replikationspartner voraussichtlich offline sind (z. B. zu Wartungszwecken oder zur Notfallwiederherstellung), können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. 
 
Die folgenden Vorgänge werden eventuell beeinträchtigt: 
Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren. 
Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen. 
PDC: Sie können auf dem primären Domänencontroller keine weiteren Vorgänge durchführen, wie z.B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory Lightweight Directory Services vorhandene Konten. 
RID: Sie können keine neuen Sicherheits-IDs für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen. 
Infrastruktur: Domänenübergreifende Namensverweise, wie z.B. universelle Gruppenmitgliedschaften, werden nicht ordnungsgemäß aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird.

 

 

Grüße!

Link to post

Sprich dein Problem ist, dass der zweite dc03 sich noch nie korrekt synchronisiert hat. Das solltest du beheben und dann sind deine Probleme auch weg. Die 127.0.0.1 würde ich nicht als primären eintragen. Nimm mal bei beiden vorerst den funktionierenden dc als primären.

Link to post
vor 13 Minuten schrieb NorbertFe:

Die 127.0.0.1 würde ich nicht als primären eintragen. Nimm mal bei beiden vorerst den funktionierenden dc als primären.

Done. Hab jetzt bei beiden als Primären den "guten" DC01 eingetragen und sekundär den DC03.

 

vor 14 Minuten schrieb NorbertFe:

dein Problem ist, dass der zweite dc03 sich noch nie korrekt synchronisiert hat

Das ist auch genau das, wo ich auch keinen grünen Zweig komme. Die Einrichtung (Höherstufung) lief ohne Probleme durch und auch nen "repadmin /syncall" erklärt mir, dass alles tutti sei. Selbst wenn ich mit einem "repadmin /showrepl" den letzten Sync überprüfe, krieg ich auch keine Fehler zurück (auf dem DC03).

 

Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführt
Default-First-Site-Name\DC03
DSA-Optionen: IS_GC
Standortoptionen: (none)
DSA-Objekt-GUID: 97ebcb50-99a7-43cc-9be5-73d1bc32f403
DSA-Aufrufkennung: 089ba02e-f89d-4582-8229-2db7c5d0620b

==== EINGEHENDE NACHBARN=====================================

DC=DOMAIN,DC=local
    Default-First-Site-Name\DC01 über RPC
        DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f
        Letzter Versuch am 2021-10-16 15:31:31 war erfolgreich.

CN=Configuration,DC=DOMAIN,DC=local
    Default-First-Site-Name\DC01 über RPC
        DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f
        Letzter Versuch am 2021-10-16 15:37:22 war erfolgreich.

CN=Schema,CN=Configuration,DC=DOMAIN,DC=local
    Default-First-Site-Name\DC01 über RPC
        DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f
        Letzter Versuch am 2021-10-16 15:23:12 ist fehlgeschlagen, Ergebnis 8524 (0x214c):
            Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
        1 aufeinander folgende Fehler.
        Letzte Erfolg um 2021-10-16 14:49:34.

DC=ForestDnsZones,DC=DOMAIN,DC=local
    Default-First-Site-Name\DC01 über RPC
        DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f
        Letzter Versuch am 2021-10-16 15:31:25 war erfolgreich.

DC=DomainDnsZones,DC=DOMAIN,DC=local
    Default-First-Site-Name\DC01 über RPC
        DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f
        Letzter Versuch am 2021-10-16 15:32:35 war erfolgreich.

Quelle: Default-First-Site-Name\DC01
******* 1 AUFEINANDERFOLGENDE FEHLER seit 2021-10-16 15:19:30
Letzter Fehler: 8524 (0x214c):
            Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.

 

Der Fehler um 15:19 dürfte gewesen sein, als ich testweise den DC01 nochmal runter gefahren hab.

 

Gibt es eine Art "Richtig durchspühlen" Funktion, in der der DC03 seine komplette(!) Konfiguration und Replikation nochmal vom DC01 zieht?

Link to post
vor 15 Minuten schrieb NorbertFe:

Hat der dc03 denn die netlogon und sysvol freigabe?

Binge. Hat er nicht. (Daran hab ich noch gar nicht gedacht, shame und so ^^)

 

Ein "For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state" zeigt auf dem DC01 ist es mit dem Status 5 vorhanden und auf dem DC01 befindet es sich mit Status 2 noch in anfänglicher Syncronisation (Wohl seit über 2 Wochen, seit es den DC gibt.)

Edited by HeizungAuf5
Link to post

Sou, ich glaube ich habs ^^

 

Die Lösung des SysVol-Problems hat dann auch gleich die Problematik mit der AD-Verwaltung gelöst.

 

An diejenigen, die durch die Suche auf dieses Thema gekommen sind: In diesem Video wird euch gut erklärt, wie ihr die Replikation reparieren könnt.

 

Ca. 80% wusste ich noch so, aber mit einer "bestätigenden" Anleitung gehts doch deutlich einfacher.

 

Danke Dir @NorbertFe!

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...