eras 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hi Leute, Hab leider ein Riesenproblem, wir haben von nt4 auf w2k3 migriert, und zwar folgendermaßen: Zuerst einen zweiten NT4 Server Installiert und als BDC in die Domäne gehängt, dann den BDC vom Netzwerk getrennt und zum PDC aufgestuft, anschließend Update auf W2k3. Installation eines zweiten W2k3 Servers und diesen mit dem Upgedateten nt4 (PDC-->w2k3) in die Domäne gehängt. Anschliessend wollten wir die Rollen verschieben doch genau da kommen jetzt massig Fehler. Ich kann mit dem neuesten Server nicht auf den Upgedateten w2k3 Server Replizieren, scheint irgendein DNS Problem zu sein, der neuste Server hängt zwar in der Domäne und die Clients können sich auch Anmelden, aber die Ereignisanzeige ist zugespammt mit hunderten Fehlern. (wie z.b. DNS: 4000, 4013 - Anwendung: Userenv 1053 - Dateireplikationsdienst: NTFRS 13565 - System Netlogon 5774 usw.) Ich kann den neuesten Server auch nicht mehr aus der Domäne nehmen --> Zugriff verweigert! :( Ebenfalls hat der neueste Server keine Reverselookupzone, die wurde offensichtlich auch nicht Repliziert, manuell Anlegen geht auch nicht --> Zugriff verweigert! Jemand eine Idee? Zitieren Link zu diesem Kommentar
uwegabbert 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Lauft der alte NT4 PDC noch im Netz? Dann hast Du 2 PDC was nicht funktioniert. Wie sind die DNS-Server konfiguriert (AD-Integriert?)? sind auf beiden DC die gleichen DNS-Server eingetragen? sind beide DC im DNS unter _msdcs zu finden? Wenn nicht, dann auf beiden Servern "ipconfig /registerdns" eufrufen und das DNS erneut überprüfen. Uwe Gabbert Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 6. Mai 2005 Autor Melden Teilen Geschrieben 6. Mai 2005 Lauft der alte NT4 PDC noch im Netz? Dann hast Du 2 PDC was nicht funktioniert. Wie sind die DNS-Server konfiguriert (AD-Integriert?)? sind auf beiden DC die gleichen DNS-Server eingetragen? sind beide DC im DNS unter _msdcs zu finden? Wenn nicht, dann auf beiden Servern "ipconfig /registerdns" eufrufen und das DNS erneut überprüfen. Uwe Gabbert Hi Uwe, 1. Nein der läuft nicht mehr, der steht jetzt mal nur daneben, wenn alles schief geht muss ich den wieder anhängen. 2. Ja sind AD Integriert 3. Ja 4. Nein, dort kann ich nur den Upgedateten NT4 finden Ich hab auf den neusten Server (der der Später mal Standalone DC sein soll) den DNS Dienst deinstalliert und neuinstalliert, da ich vermute das dort irgendwo der Fehler liegen muss. Leider kann ich diesen nicht mehr Fehlerfrei Installieren, beim Versuch eine Forward Lookupzone zu erstellen bekomme ich die Meldung die am Bild zu sehen ist. http://img124.echo.cx/img124/5960/dns2cf.jpg Bendors Aufmerksam macht mich an der Fehlermeldung der Teil mit der Anwendungsverzeichnispartition, in der Ereignisanzeige konnte ich bisher öfters Lesen das auf diese nicht Zugegriffen werden kann. Ich denke hier liegt der Fehler, aber was ist diese Anwendungsverzeichnispartition was wird darin gespeichert, wo wird sie gespeichert, kann ich sie auch manuell Anlegen? Und den Teil mit "Active-Directory Domäne "(null)"" finde ich auch Seltsam, warum "(null)" die Domäne sollte eigentlich picsdom.local heißen. Danke schonmal für die Hilfe. Zitieren Link zu diesem Kommentar
Workaholic4u 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Auf welche Funktionsebene hasst du denn die Active Directory Domäne beim Update gesetzt? Ich würde mal sagen das ist irgendwas beim anlegen der Anwendungspartition schief gegangen... ab 2003 kann DNS in einer seperaten Anwendungspartition gespeichert werden... hängt aber von der Funktionsebene des Forests oder der Domäne. Siehe Hilfe für Erklärung und Sinn einer Anwendungspartition... Bin mir nicht sicher ob es standardmäßig in eine seperate Anwendungspartition verschoben wird. In der Hilfe steht: So können Sie z. B. den Replikationsbereich für in Active Directory gespeicherte DNS-Zonendaten (DNS, Domain Name System) so definieren, dass nur bestimmte Domänencontroller der Gesamtstruktur an der DNS-Zonenreplikation teilnehmen. Da steht nichts davon, das DNS automtisch in einer Neuen Anwendungspartition verschoben wird. Wenn es so wäre würde ich sagen die Anwendungspartition ist beschädigt oder garnicht da. Bei 2000 lag es aufjedenfall in der Domänen Partition. Verwaltung der Anwendungspartition mit ntdsutil: Partitionsnamen: vergleich Domänennamen NtdsUtil Domain management Connections Connect to server servername Quit CreateNCPart Distinguished Name Ziel DC als fqdn AddNCReplicaNcPartName DC als fqdn oder per DNSCMD da weiss ich die befhle nun nich so ausm stand... berichte mal wie du voran kommst Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 6. Mai 2005 Autor Melden Teilen Geschrieben 6. Mai 2005 Ich komm leider nicht wirklich voran, glaube aber das ich den Fehler beim DNS Suchen muss und werde mal versuchen manuell eine Anwendungspartition anzulegen. Ich hab mal die (wie ich annehme) wichtigsten Fehlermeldungen aus dem Ereignisprotokoll zusammengefasst, vielleicht hat ja jemand on euch Lust sich das mal durchzulesen. Verzeichnisdienst Fehlernummer: 1925 Quelle: NTDS KCC Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden schreibbaren Verzeichnispartition. Verzeichnispartition: DC=picsdom,DC=local Quelldomänencontroller: CN=NTDS Settings,CN=BDC-TEMP,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=picsdom,DC=local Adresse des Quelldomänencontrollers: 9b866b2b-ebb9-43ca-a396-1dc60da1816e._msdcs.picsdom.local Standortübergreifende Übertragung (falls vorhanden): Dieser Domänencontroller kann nicht mit dem Quelldomänencontroller replizieren, solange das Problem nicht behoben ist. Benutzeraktion Überprüfen Sie, ob auf den Quelldomänencontroller zugegriffen werden kann und ob eine Netzwerkverbindung besteht. Zusätzliche Daten Fehlerwert: 5 Zugriff verweigert Anwendung Fehlernummer: 1053 Quelle: Userenv Der Benutzer oder der Computername kann nicht ermittelt werden. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen. DNS-Server Fehlernummer: 4000 Quelle: DNS Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode. Fehlernummer: 4013 Quelle: DNS Der DNS-Server konnte das Active Directory nicht öffnen. Dieser DNS-Server wurde für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff zu dem Verzeichnis nicht fehlerfrei ausgeführt werden. Der DNS-Server wird so lange angehalten, bis das Verzeichnis gestartet wird. Sollte der Server gestartet worden sein und das entsprechende Ereignis ist nicht protokolliert worden, dann wartet der Server weiterhin darauf, dass das Verzeichnis gestartet wird. Dateireplikationsdienst Fehlernummer: 13565 Quelle: NtFrs Der Dateireplikationsdienst initialisiert den Systemdatenträger mit Daten eines anderen Domänencontrollers. Der Computer "SRV-PICS1" kann nicht zum Domänencontroller benannt werden, bis dieser Vorgang beendet ist. Das Systemvolumen wird dann unter SYSVOL freigegeben. System Fehlernummer: 24 Quelle: W32Time Zeitanbieter "NtpClient": Es wurde keine gültige Antwort vom Domänencontroller bdc-temp.picsdom.local nach 8 Kontaktversuchen empfangen. Der Domänencontroller wird nicht mehr als Zeitquelle verwendet und es wird versucht einen neuen Domänencontroller für die Synchronisierung zu finden. Zitieren Link zu diesem Kommentar
Workaholic4u 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 hmmm, die Fehlermeldungen deuten alle irgendwie auf DNS... Handelt es sich bei der Domäne um eine eigene Gesamtstruktur oder integrierst du die Domäöne in eine bestehende Gesamtstruktur? Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 6. Mai 2005 Autor Melden Teilen Geschrieben 6. Mai 2005 Der Domänencontroller der mal Stand Alone sein soll, wurde als Domänencontroller in einer Bestehenden Gesamtstruktur eingefügt, dann sollten eigentlich nur noch die Rollen verschoben werden und fetich ... naja leider nicht. Mir ist auch aufgefallen das die Sysvol freigabe garnicht erstellt wurde, das würde dann wieder gegen einen reinen DNS Fehler Sprechen (siehe obige Fehlermeldung Dateireplikationsdienst). Hab schon Versucht Q315457 abzuarbeiten, leider ohne Erfolg... Langsam macht sich Verzweiflung Breit... :( Zitieren Link zu diesem Kommentar
Workaholic4u 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hast du dir mit ntdsutil mal anzeigen lassen ob es eine Anwendungspartition mit deem namen: dc=DomainDNSZones,dc=picsdom,dc=local gibt? außerdem müsste es dann auch noch eine ForestDNSZones,dc=picsdom,dc=local geben sind die vorhanden? wenn ja mach mal list nc replicas ... um zu sehen wie die replizieren... das mit dem sysvol ist ja auch sehr myteriös, was ist denn da alles schief gegangen... ich weiss schon warum ich diese Migrations Szenerien nicht besonders mag :) Viel Glück noch weiterhin... Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Hallo, ich habe mit Kollegen am Mittwoch auch eine NT-4 Domain in eine bestehende AD-Gesamtstruktur integriert und hatte ähnliche Fehler. Die Directory partitions waren aber da. Mit folgenden Kommandos: dnscmd /enumdirectorypartitions (zeigt dir an, wleche partitionen da sind) und mit dnscmd <server-fqdn> /enlistdirectorypartition forestdnszones.<fqdn-der-forest-root-domäne> und dnscmd <server-fqdn> /enlistdirectorypartition domaindnszones.<fqdn-der-subdomäne> sollten die dns-daten repliziert werden können. Das ganze muß mit Enterprise Admin Rechten gemacht werden, sonst gibts bei den DNSCMD Kommandos einen Fehler: access denied. Anschließend am besten den DC booten oder "net stop netlogon" und "net start netlogon" eingeben. Das sollte dann auch für die Replikation hilfreich sein. Aber Geduld müsst ihr auch haben, das kann dauern mit der Replikation. Hoffe, das hilft euch Gruß Christoph35 PS: für DNSCMD müsst ihr die Support-Tools installiert haben ;-) Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 6. Mai 2005 Autor Melden Teilen Geschrieben 6. Mai 2005 @Workaholic Bei meinem Upgedateten NT4 habe ich einmal die Zone für die Domain und einmal für den Forrest drin, sollte also alles passen. @Christoph Auf dem neuren Server hab ich den DNS jetzt mal runtergenommen, sodass der mal nur Domänencontroller ist, ich denke das macht mir die Fehlersuche ein wenig leichter. Langsam hab ich auch den Verdacht es könnte ein Kerberos Authentifizierungsproblem sein, wofür auch die Fehlermeldung von W32 Time Sprechen würde. Auch habe ich bisher dutzende Support Seiten gewältzt, in denen auch Kerberos in Bezug zu diesem Fehler oft Angesprochen wird. Hier hab ich eine Recht brauchbare Seite gefunden die sich mit diesem Replizierungsfehler befasst, ich werde die Liste mal abarbeiten, wenn ihr weitere Ideen habt Bitte Posten, ich meld mich dann wieder wenns was neues gibt! Auf Jeden Fall schon mal ein herzliches Dankeschön für die bisherige tolle Hilfe :) Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 @WorkaholicLangsam hab ich auch den Verdacht es könnte ein Kerberos Authentifizierungsproblem sein, wofür auch die Fehlermeldung von W32 Time Sprechen würde. Auch habe ich bisher dutzende Support Seiten gewältzt, in denen auch Kerberos in Bezug zu diesem Fehler oft Angesprochen wird. Naja, wenn ich mir die Fehlermeldung da so anschaue, dann wird kein DC gefunden, was nicht auf Authentifizierungsprobleme hinweist, sondern auf ein Problem mit der Namensauflösung, also wieder DNS... Kannst Du mal die DNS-Settings posten? Welcher DC auf welchen anderen DC für die Resolution verweist, Forwarders etc. pp? Zitieren Link zu diesem Kommentar
Workaholic4u 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 jau, bin auch der Meinung das du nur ein DNS Problem hasst, wenn DNS nicht Sauber Konfiguriert ist oder gar total verkehrt läuft geht so gut wie nix im Active Directory... Die ganzen Service Rekords in Ordnung und passend? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Mai 2005 Melden Teilen Geschrieben 6. Mai 2005 Noch was ist mir aufgefallen, bezgl. Fehler 1925. Da steht was von Access Denied am Schluß. Kann es sein, dass Du während des DCPromo nach dem Upgrade NT->2003 die Credentials des NT4 Dom.-Admins eingegeben hast? Der hat nämlich keine Schreibberechtigung auf die DNS-Partitionen, dafür brauchst Du die Credentials eines Enterprise- bzw. Organisations-Administrators. Wenn die nicht gegeben sind, kann die DomainDNS-Partition für die neue Domain nicht angelegt werden, und damit können auch die ganzen Service Records nicht erstellt werden, und damit hast du dann ein ziemliches Problem ;-) Falls möglich, solltet ihr die NT4 Domain wiederherstellen, und das ganze nochmal machen, aber diesmal mit Enterprise-Admin-Credentials. Oder du legst mit Enterprise-Admin die Partitionen an (s. DNSCMD-Hilfe) und rebootest die DCs, damit die SRV-Records registriert werden. Gruß Christoph35 Zitieren Link zu diesem Kommentar
eras 10 Geschrieben 9. Mai 2005 Autor Melden Teilen Geschrieben 9. Mai 2005 So, danke noch für die Antworten, das Problem ist Endlich gelöst (und die behebung hat nur ca. 5 Sekunden gedauert :rolleyes: ) Aus irgendeinem Grund, fragt mich nicht warum, stimmte das Passwort des Computerkontos das der erste W2k3 (temporär) vom endgültigen W2k3 Server gespeichert hatte nicht. Darum ließ er ihn nicht Replizieren. Wir haben das Computerkonto Passwort nach diesem Knwoledgebase Artikel geändert und jetzt funktioniert die ganze Sachen einwandfrei. War wirklich ein sehr dubioses Problem... ;) Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 9. Mai 2005 Melden Teilen Geschrieben 9. Mai 2005 So, danke noch für die Antworten, das Problem ist Endlich gelöst (und die behebung hat nur ca. 5 Sekunden gedauert :rolleyes: )Aus irgendeinem Grund, fragt mich nicht warum, stimmte das Passwort des Computerkontos das der erste W2k3 (temporär) vom endgültigen W2k3 Server gespeichert hatte nicht. Darum ließ er ihn nicht Replizieren. Wir haben das Computerkonto Passwort nach diesem Knwoledgebase Artikel geändert und jetzt funktioniert die ganze Sachen einwandfrei. War wirklich ein sehr dubioses Problem... ;) Tja. Ist manchmal so... Kleine Ursache, Große Wirkung.... Aber gut, dass das Problem gelöst ist. Christoph35 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.