W2K Domaincontroller - Keine Replizierung mehr - Kein Drucken mehr

[Steinbock63 10]

Hallo an alle,

 

ich habe heute schon stundenlang in euren Beiträgen, anderen Foren und Microsoft Artikeln gelesen, habe zig verschiedene Tests durchgeführt und Einstellungen ausprobiert - jetzt bin ich mit meinem Latein am Ende und mir ist zum Heulen. :-(

 

Also von vorne:

Ich bin als eigentliche Programmiererin seit dem letzten Juli mit der Administration des Win2000 Netzwerks einer Klinik ins kalte Wasser geworfen worden. Da das ganze in einer Art Mischjob läuft, hatte ich bisher leider nicht die Zeit, mich in die Materie Active Directory und die gesamte bestehende Architektur richtig einzuarbeiten. Bis gestern konnte ich mir bei auftauchenden Problemen auch immer helfen...

 

Konfiguration des Netzwerks:

1 Domain

1 Standort

1 AS400 mit 2 Betriebssystemen:

- IBM OS (für die Kliniksoftware)

- W2K Server mit Active Directory, DNS Server, WINS (DC 1, Betriebsmaster)

1 W2K Server mit Active Directory, DNS Server, WINS (DC 2)

Kein DHCP-Server - feste IP-Adressen - ca. 30 Clients.

Kein Fileserver, kein Printserver (freigegebene Drucker an den Clients).

Die beiden Server laufen im Kompatibilitätsmodus für NT4.

 

Das Problem:

Seit gestern funktionierte plötzlich das Drucken übers Netzwerk nicht mehr. Der Druckauftrag kommt zwar bei dem jeweiligen Client an, aber dann öffnet sich das Fenster des Druckermanagers und meldet, dass der Druckauftrag aufgrund eines Netzwerkproblems nicht ausgeführt werden konnte.

 

Nachdem ich in den Logfiles zuerst keinen Hinweis finden konnte, habe ich als erste Maßnahme mal beide Server neu gestartet (hilft ja oft wenn auch keiner weiß warum).

Nix - immer noch dasselbe.

Also die Logfiles genauer vorgenommen und festgestellt, dass bereits vor meinem Stellenantritt in dieser Klinik regelmäßig Fehlermeldungen im Hinblick auf Replikationsprobleme erschienen.

Das nächste war, dass ich vom DC2 aus über die Active Directory Snapins keinen Zugriff mehr auf den DC1 hatte. Es erschien immer die Meldung "Der Ziel-Principal Name ist falsch".

Zuerst dachte ich an ein DNS Problem, aber wo? Alles testen und durchforsten hat bisher nichts gebracht! Dafür teilte mir "dcdiag" heute mit, dass die letzte erfolgreiche Replikation bereits am 17.02.2005 gelaufen war (!).

Auch das in diesem Artikel erwähnte Symptom trat auf, dass ich den DC1 per "net view" nur noch mit seiner IP, nicht aber seinem Hostnamen ansprechen konnte.

Gestern konnte ich die Drucker vorübergehend dadurch zum Laufen bringen, dass ich am CD1 den Kerberos Dienst abgeschaltet habe. Heute hat auch das nicht mehr funktioniert. An den Vorschlag aus dem obigen Artikel mit "netdom" habe ich mich noch nicht drangetraut. Ich möchte lieber noch ein paar Meinungen hören (lesen).

 

Leider kann ich momentan keine der Replikationsfehlermeldungen posten, da ich jetzt von zuhause aus schreibe.

 

Hat irgendjemand eine Idee, in welche Richtung ich weitersuchen sollte? Eher in Richtung DNS oder in Richtung Authentifizierung? Ich werde noch verrückt mit diesem M... !

 

Viele Grüße

Steinbock63

[phoenixcp 10]

Ok, fangen wir ganz langsam an der Wurzel des Übels an. Wenn deine DC's nicht mehr replizieren, dann schreiben sie die fehlgeschlagenen Repliaktionsversuche ins Eventlog. Die dort aufgelaufenen Fehlermeldungen enthalten eine Event-ID. Mit dieser kannst du dich mal bei http://www.eventid.net umschauen. Das ist für sowas immer der erste Anlaufpunkt. Als zweites die Meldungen hier posten, falls die bei eventid.net vorgeschlagenen Lösungen nicht funktionieren.

 

Die Repliaktion kannst du versuchen zu erzwingen. Und zwar über das Snap-In "Active Directory Sites and Services". Dort in deinem Standort den jeweiligen Server auswählen und bis in die NTDS-Settings runterhangeln. Dort siehst du dann die Replikationsverbindungen zu dem / den andren Servern. Mit einem Rechtsklick darauf siehst du die Option "Replicate Now".

 

Sollte es keine Replikationsverbindung mehr zwischen den Servern geben, dann musst du diese neu einrichten. Standortintern kann man RPC nutzen, muss es aber nicht.

 

Sollte es bei dem VErsuch zu replizieren zu Fehlermeldungen kommen, dann entweder wieder hier melden und weiter nachfragen oder wieder der Weg über Google.

 

Keine Panik, immer mit der Ruhe, irgendwie bekommen wir das auch wieder in den Griff

 

Gruß

Carsten

[Workaholic4u 10]

Welche Service Pack Version ist auf den Servern installiert?

 

In dem genannten Artikel steht ganz unten folgendes:

 

Microsoft Windows 2000 Server SP1 Microsoft Windows 2000 Advanced Server SP1

 

Ich denke mal Wenn ihr die Server auf Service Pack 4 habt, habt ihr ein anderes Problem, bzw. braucht einen anderen Lösungsansatz.

[phoenixcp 10]

Ahja, das war ein guter Beitrag. Verrat uns doch mal welchen Servicepackstand deine Maschinen haben. Das hilft durchaus auch bei der Eingrenzung von Problemen.

[Velius 10]

Was man so alles findet wenn man bei MS einfach wrong spn domain controller als Suchbegriffe verwendet.....

 

KB837513: Domain controller is not functioning correctly

 

Die deutsche Version ist hier zu finden: http://support.microsoft.com/default.aspx?scid=kb;de;837513

 

 

Gruss

Velius

[Steinbock63 10]

@ phoenixcp,

erstmal vielen Dank für Deine Antwort!

Wäre ja alles nicht so schlimm, wenn mein Chef - der nun wirklich nicht die blasseste Ahnung von Computerdingen hat - mir nicht ständig mit "muss laufen - heute noch" und ähnlichem im Nacken sitzen würde. ;-)

 

Ok, jetzt zur Sache:

 

Beim Versuch, im Snap-In 'Standorte und Dienste' mit Rechtsklick auf den DC1 die Replikation zu erzwingen erscheint die Meldung "Der RPC-Server ist für diesen Vorgang zu stark ausgelastet". Das gleicher Ergebnis hatte ich gestern schon bei diesem Versuch über die Konsole mit "syncall /force" erhalten.

 

Dieser soeben durchgeführte Versuch wurde nicht im Eventlog festgehalten, also leider keine Event-Id vorhanden. Die letzten Meldungen im Replikationsprotokoll stammen von heute Nacht (auf der AS400 läuft nachts immer die Datensicherung, danach werden alle Dienste neu gestartet). Es sind folgende Fehler geloggt:

 

[13552]

Der Dateireplikationsdienst kann diesen Computer dem folgenden Replikatsatz nicht hinzufügen: "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"

 

[13555]

Der Dateireplikationsdienst befindet sich im Fehlerzustand. Dateien werden nicht von oder zu einem oder allen Replikatsätzen auf diesem Computer repliziert, bevor nicht die folgenden Wiederherstellungsmaßnahmen durchgeführt wurden: ......

 

Und hier das Log des Directory Service zur gleichen Uhrzeit:

 

[1308]

Die Konsistenzprüfung des Verzeichnisdienstes hat ermittelt, dass 4955 aufeinander folgende Replizierungs- Versuche mit CN=NTDS Settings,CN=WIN2000-SERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=naturana,DC=de in einen Zeitraum von 80744 Minuten fehlgeschlagen sind. Das Verbindungsobjekt für diesen Server wird beibehalten und neue temporäre Verbindungen hergestellt, um Replizierung aufrecht- zu erhalten. Der Verzeichnisdienst wird die Replizierung mit CN=NTDS Settings,CN=WIN2000-SERVER,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=naturana,DC=de erneut versuchen. Sobald dies erfolgreich ist, wird die temporäre Verbindung gelöscht.

 

[1404]

Der lokale Verzeichnisdienst hat die Verantwortung für das Generieren und die Aufrechterhaltung der domänenübergreifenden Replikationstopologie dieses Standorts übernommen.

 

Das Systemprotokoll zeigt außerdem in schöner Regelmäßigkeit immer 5-mal die Meldung

 

[8006]

"Der Browser erhielt ein nicht zugelassenes Datagramm vom Remotecomputer "NATURANANET" zum Namen "NATURANA" auf dem Transport "NetBT_Tcpip_{45C2F15". Daten: Datagramm."

 

und dann 1-mal

 

[8016]

Der Suchdiensttreiber erhielt zu viele nicht erlaubte Datagramme vom Remotecomputer "NATURANANET" zum Namen "NATURANA" auf Transport "NetBT_Tcpip_{45C2F15". Das Datagramm steht in den Daten. Es werden keine weiteren Ereignisse erzeugt, solange die Rücksetzfrequenz nicht abgelaufen ist.

 

Mir war zwar von Anfang an bekannt, dass die Konfiguration auf unserer AS400 etwas schwierig ist, aber ich kann mir nicht erklären, wieso unser Netz monatelang läuft und jetzt ohne erkennbaren Grund Fehler auftauchen.

 

Seit neuestem tauchen jetzt auch NetBT-Probleme auf. (Die AS400 besitzt 2 Netzwerkkarten mit unterschiedlichen IPs.) Die übliche Meldung, dass der Name bereits in der Domain existiert, taucht schon immer beim Anmelden am DC1 auf (ohne den Betrieb zu beinträchtigen). Wenn ich jetzt aber sämtlichen Verkehr über den DC1 zwinge, indem ich DC2 abschalte, können sich die Netzwerkadapter der Clients nicht dort registrieren, da angeblich kein DDNS läuft. ES LÄUFT ABER! *schnief*

 

 

@ workaholic4u

 

Wir haben SP4 auf beiden Maschinen.

 

 

@ velius

 

Danke, lese ich mir gleich mal durch.

 

Ich habe mir jetzt mal Dameware besorgt - vielleicht stoße ich damit auf die Ursache...

Für alle weiteren Tipps/Ideen hast bin ich sehr dankbar.

 

Grüße

Susanne

[Velius 10]

hui ist das viel Text.....

 

 

Also bin da nur Überflieger mäsig darüber, aber zwei Sachen sind mir Aufgefallen:

 

1. Was hat es mit dem AS400 auf sich, bzw. wo ist die Verbindung zum AD
   
2. Welcher Rechner hat zwei NIC's? Etwa einer der DC's?
   

 

 

Gruss

Velius

[phoenixcp 10]

Für den Fehler 13552

http://www.eventid.net/display.asp?eventid=13552&eventno=571&source=NtFrs&phase=1

 

Für die 1308

http://www.eventid.net/display.asp?eventid=1308&eventno=445&source=NTDS%20KCC&phase=1

 

Dabei wird ebenfalls die Kontrolle der DNS empfohlen.

Kannst du denn sicherstellen, das deine DNS sauber funktioniert?

Deine Repliaktion ist ja ziemlich lange nicht mehr gelaufen. Bist du dir denn sicher, das deine beiden DC's wirklich noch DC's sind? Mir scheint es, das einer der beiden vielleicht sogar seine Rolle vergessen hat. Bzw. er wurde unter Umständen nach einem Crash mit dem selben Namen neu installiert und in die ADS promoted. Kannst du das ausschliessen oder besteht die Wahrscheinlichkeit?

[Steinbock63 10]

@ velius

 

Das habe ich auch noch nicht so ganz kapiert, ich vermute aber, dass der Schlüssel WINS heißt. Eine direkte Verbindung zum AD konnte ich auch noch nicht finden, die Kliniksoftware hat eigene Benutzerkonten, verwendet allerdings für die Zugriffssteuerung von Benutzern auf freigegebene Windows-Laufwerke die Windows-Anmeldedaten der Benutzer. Ich glaube, ich muss mir vom Hersteller dieser Software endlich mal die Zusammenhänge erklären lassen... (Habe ich bisher nur nicht gemacht, weil die Klinik keine Kurse bezahlt und auch nicht bereit ist, mich dafür freizustellen. D. h., das Ganze ist mein Freizeitvergnügen)

 

Die beiden NICs befinden sich in der AS400, über einen läuft der lokale IBM Traffic, der andere ist für den Windows DC.

 

So, ich habe eben mir eben mal das Zusammenspiel auf der AS400 erklären lassen:

 

Die AS400 besitzt nur 1 NIC, der allerdings mit jedem OS über eine andere IP kommuniziert:

Windows IP ist 192.168.31.2

Schnittstelle zu IBM Isiris ist 192.168.1.2

Diese Schnittstelle routet Benutzeranmeldungen weiter zu dem Dateifreigabeemulator auf 192.168.31.1, der die Windows Benutzerdaten mit den Benutzerdaten im IBM System abgleicht.

 

Gruß Susanne

[Steinbock63 10]

@ phoenixcp

 

Also eine Neuinstallation ist ausgeschlossen, die hätte ja innerhalb der letzten Monate stattfinden müssen und ich betreue das Netz seit dem 01.07.2004.

 

So ganz unrecht könntest Du allerdings mit dem "vergessen" nicht haben. Ich möchte nur gerne erst ausschließen, dass der Fehler im DC1 liegt, bevor ich DC2 neu aufsetze.

Genau diese Befürchtung habe ich nämlich...

 

Gruß Susanne

[Steinbock63 10]

@ phoenixcp

 

Sollte es keine Replikationsverbindung mehr zwischen den Servern geben, dann musst du diese neu einrichten. Standortintern kann man RPC nutzen, muss es aber nicht.

 

Bei dem Versuch, DC1 nach DC2 zu replizieren, erhalte ich die Meldung von der Unmöglichkeit wegen Auslastung. DC2 nach DC1 geht aber gar nicht - er findet ihn nicht.

Da wäre ja auch noch diese komische Kerberos Geschichte - sobald der Dienst auf dem DC2 läuft, habe ich (außer mit Konsolenbefehlen) keinen Zugriff mehr auf DC1.

 

Gruß Susanne

[phoenixcp 10]

Wer findet wen nicht und mit welcher Fehlermeldung? Ich hab da grade den Denkfaden verloren. :)

[Steinbock63 10]

Sorry für die ungenaue Angabe, aber ich bin inzwischen erstmal wieder zuhause...

 

Also, wenn ich dem DC2 den Replizierungsbefehl erteile, dann erhalte ich eine Fehlermeldung in der Art, dass entweder der DC1 nicht gefunden wurde oder kein Zugriff erlaubt ist. Die genaue Meldung kann ich morgen posten. Ich will mir die Sache morgen in aller Ruhe vornehmen, wenn sonst niemand in der Klinik ist.

 

Gruß

Susanne

[Steinbock63 10]

Hi phoenixcp und alle anderen Netzwerkprofis,

 

so, nachdem ich meinen Samstag Nachmittag geopfert habe, dachte ich zuerst, das Problem sei jetzt behoben. Es war eigentlich ganz einfach: Die Syncronisation der Uhrzeit der beiden Server war nicht beachtet worden, so dass sich seit der Einrichtung des DC2 im Januar 2004 eine Verschiebung von 8 Minuten ergeben hatte. Effekt: Keine gültigen Kerberos Tickets mehr.

 

Am Samstag lief dann zunächst auch alles, aber heute früh der Schreck - das war wohl doch noch nicht die Gesamtlösung. Ein Teil der Benutzer kann wieder nicht aus dem Klinikprogramm heraus drucken und ich habe keine Ahnung warum. Merkwürdigerweise aber nur ein Teil, andere Benutzer, die mit anderen Bereichen der Kliniksoftware arbeiten haben komischerweise keine Druckprobleme. Alles andere im Netz funktioniert.

 

Komisch ist, dass das Sysvol-Verzeichnis auf dem DC2 überhaupt keine Freigabe hatte. Die Dateireplikation scheint entweder noch nie oder schon lange nicht mehr ordentlich gelaufen zu sein. Wenn ich Sie manuell anstoßen will, erhalte ich zuerst die Meldung, dass das Verzeichnis nach Fertigstellung der Replikation freigegeben wird. Danach kommt die Meldung, dass der Vorgang nicht erfolgreich abgeschlossen werden konnte, weil .... (weiß ich nicht mehr auswendig) ... irgendein Hinweis, der auf ein Problem mit der Namensauflösung hindeutet.

 

Komisch ist auch, dass die System Events voll sind mit 8003, 8006 und 8016. Laut Microsoft scheinen hier UDP Broadcasts stattzufinden und man kann durch die entsprechende Konfiguration der WINS-Server Abhilfe schaffen. Ich habe nur keine Idee, was ich in der WINS Konfiguration ändern soll, damit das aufhört... ???

 

Ansonsten habe ich keine Fehlermeldungen oder Warnungen, die mich auch nur im geringsten weiterbringen würden. Aber "net view DC1" funktioniert immer noch nicht, sondern nur wenn ich statt des hostnamens die IP angebe. "nslookup" (auf dem DC2) erzählt mir, dass die Domainname zur entsprechenden IP nicht gefunden werden konnte....

 

Hast du noch eine Idee für mich?

 

Viele Grüße

Susanne

[phoenixcp 10]

Kann ich davon ausgehen, das du das Sysvolverzeichnis mittlerweile händisch geshared hast? Oder hat er das nach ner Weile selber gemacht? Das ganze sieht nach einer nicht ganz erfolgreichen Promotion des DC's aus, finde ich mittlerweile.

 

Solange sich deine DC's DNS-technisch nicht sauber über die Namenauflösung finden, wirst du nicht grade viel Erfolg haben. Ich denke, das die DNS der nächste Ansatzpunkt ist...

 

Zu dem Druckerproblem:

Haben die User jeweils die selben Drucker, oder kann man das Problem auch auf einen Teil der Drucker eingrenzen? Bzw. hege ich sogar den Verdacht, das die User die nicht drucken können. sich an dem DNS-technisch nicht auflösbaren DC anmelden und der andre der Druckserver ist. Kannst du das bestätigen?