masterbonsai 10 Geschrieben 5. September 2005 Melden Teilen Geschrieben 5. September 2005 hallo zusammen, ich ahabe folgende umgebung: 1. (172.16.88.2) DC01 W2K3 SBS standard SP1= 1. DC mit GC usw... exchange, 2. (172.16.88.3) DC02 W2K3 standard SP1 , DHCP Server, RIS, Veritas BackupExec, Printserver, Sophos virenscanner verteilung. und div applications... mein eigentliches problem ist folgendes: der DC02 bekommt unten einkopierte fehlermeldungen und nach ein paar tagen kann sich niemand mehr anmelden, drucken geht nicht mehr und einige applicationen (MSDE SQL, BACKUP) laufen nicht mehr, nur ein reboot hilft... :-( ich hatte vor ca. 6-8 wochen erfolglos auf DC01 (W2K3 SBS standard) das servicepack 1 installiert und konnte nur noch durch eine install-reparatur über CD den server "retten", sprich sp1 wurde durch die reperatur wieder runtergenommen was über keinen anderen weg mehr möglich war. .. die fehler auf dem DC02 sind aber erst seit ca 3-4 wochen aufgetreten. nun habe ich natürlich hier im board gescuht, gegoogelt, auf microsoft gesucht.. aber nirgends einen ähnlichen fall gefunden, der mir weitergeholfen hätte... ich vermute mal, dass es was mit der "glaubwürdigkeit" (stichwort domainserver-zertifikate, die nciht der benutzer ausstellt sonder der erste domaincontroller, soweit ich das in erfahrung gebracht habe...?) was zu tun hat und drum wollte ich nun als letzten strohhalm den DC02 herabstufen zu einem normalen member und dann wieder hochstufen,damit er wieder glaubwürdig wird... falsl dies ein möglich weg ist, würde ich aber hilfe eines erfahrenen "desaster recovery"-profis benötigen, denn ein rumprobieren auf einem produktivem system missfällt mir sehr... bitte helft mir ... hoffe konnte euch sämtliche nötigen infos geben, ansonsten fragt einfach ncohmal nach.. ich bin über jede konstruktive hilfe sehr dankbar :-) bis dahin grüsse ich euch meine meister... ich unwürdiger ich ... der jochen (Fehlermeldungen sind im 2. posting....) -------- Zitieren Link zu diesem Kommentar
masterbonsai 10 Geschrieben 5. September 2005 Autor Melden Teilen Geschrieben 5. September 2005 Ereignistyp: Fehler Ereignisquelle: AutoEnrollment Ereigniskategorie: Keine Ereigniskennung: 16 Datum: 05.09.2005 Zeit: 16:21:01 Benutzer: Nicht zutreffend Computer: DC02 Beschreibung: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht erneuern. Zugriff verweigert Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp. -------- Ereignistyp: Fehler Ereignisquelle: AutoEnrollment Ereigniskategorie: Keine Ereigniskennung: 13 Datum: 05.09.2005 Zeit: 16:21:01 Benutzer: Nicht zutreffend Computer: DC02 Beschreibung: Die automatische Zertifikatregistrierung für "lokaler Computer" konnte ein Zertifikat "Domänencontroller" (0x80070005) nicht registrieren. Zugriff verweigert Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. ------------- (KOMMT AUF DC01 !!!!) Ereignistyp: Fehler Ereignisquelle: NETLOGON Ereigniskategorie: Keine Ereigniskennung: 5774 Datum: 29.08.2005 Zeit: 03:17:37 Benutzer: Nicht zutreffend Computer: DC01 Beschreibung: Die dynamische Registrierung des DNS-Eintrags '_ldap._tcp.Standardname-des-ersten-Standorts._sites.ForestDnsZones.hallhuber.local. 600 IN SRV 0 100 389 dc01.hallhuber.local.' ist auf folgendem DNS-Server fehlgeschlagen: DNS-Server IP-Adresse: 172.16.88.3 Verbindungsantwortcode (RCODE): 2 Zurückgegebener Statuscode: 9016 Dieser Eintrag muss in der DNS registriert sein, damit Computer und Anwender diesen Domänencontroller lokalisieren können. BENUTZERAKTION Ermitteln Sie, was diesen Fehler verursacht hat. Beheben Sie das Problem und initialisieren Sie die Registrierung der DNS-Einträge durch den Domänencontroller. Um festzustellen, was diesen Fehler verursacht hat, führen Sie DCDiag.exe aus. Sie können dieses Programm auf der Windows Server 2003-Installations-CD im Ordner "Support\Tools\support.cab" finden. Weitere Informationen über DCDiag.exe finden Sie im Hilfe- und Supportcenter. Um die Registrierung der DNS-Einträge durch diesen Domänencontroller zu initialisieren, führen Sie "nltest.exe /dsregdns" in der Befehlszeile des Domänencontrollers aus, oder starten Sie den Anmeldedienst neu. Nltest.exe befindet sich auf der Microsoft Windows Server Resource Kit-CD. Andernfalls können Sie die Einträge manuell zu DNS hinzufügen. Dieser Schritt wird jedoch nicht empfohlen. ZUSÄTZLICHE DATEN Fehlerwert: Die DNS-Signatur konnte nicht überprüft werden. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Daten: 0000: 02 00 .. Zitieren Link zu diesem Kommentar
the_brayn 10 Geschrieben 5. September 2005 Melden Teilen Geschrieben 5. September 2005 Hast du schon mal hier gesucht? http://www.eventid.net Gruß Guido Zitieren Link zu diesem Kommentar
masterbonsai 10 Geschrieben 6. September 2005 Autor Melden Teilen Geschrieben 6. September 2005 guten morgen allerseits, hi guido, ja hatte ich, aber scheinbar war ich blind.... habe zu event 16 etwas gefunden, und probiere die dort beschriebene hilfestellung aus. ich melde mich dazu dann wieder. grüsse jochen Zitieren Link zu diesem Kommentar
Wäscherei 11 Geschrieben 6. September 2005 Melden Teilen Geschrieben 6. September 2005 hi, ist dein DNS auch AD-integriert? Zitieren Link zu diesem Kommentar
masterbonsai 10 Geschrieben 7. September 2005 Autor Melden Teilen Geschrieben 7. September 2005 hallo zusammen, leider war meine bisherigen versuche erfolglos, folgendes habe ich nach anleitung bei eventid.net ausprobiert: ----- error code 0x80092004 ("Cannot find object or property"). If a user tries to enroll for certificates from a Windows Server 2003 Enterprise Edition certification authority (CA) and the Include e-mail name in subject name option is selected on the template, the user cannot enroll. This problem occurs because the e-mail address is not defined in the Active Directory account of the user who is trying to enroll. The LDAP mail attribute is missing from the Active Directory user account. See M330238 to fix this problem. From a newsgroup post: "Can you check what are the ACLs on the directory “%system drive%\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys”? Does it have just "Everyone"? If this is the only permission it has, then enrollment will fail. After creating the private key, enrollment removes the "Everyone" group from the permission on the private key (as it is bad to have that), however if "Everyone" is the only ACL on the key, this renders the key not accessible by anyone. You should have only “Administrators” and “System” able to access the machine private keys". ---- die ereignisse 13 und 16 kommen leider immer noch. ob ich den server nach einiger zeit wieder neu starten muss kann ich ncoh nicht sagen, vielelicht benötigt der server nach änderungen der ACLs auch einen neustart, aber bishher konnte ich den server nciht durchstarten... falls noch jemand eine glorreiche idee hat, her damit ;-) bin für jeden vorschlag offen ... mike: bitte sag mir mal was du mit deiner frage meinst, denn normalerweise ist dns im ad integriert, bzw. andersrum... sofern man eine installation mit w2k3 sbs standard macht.. und der DC02 ist später in die domäne aufgenommen worden. aber wie ich eingangs beschrieben ahbe, msuste der DC01 repariert werden (inkl motherboard+netzwerk austausch..) evtl ist hier das problem zu suchen? die besten grüsse ans forum! jochen Zitieren Link zu diesem Kommentar
Wäscherei 11 Geschrieben 7. September 2005 Melden Teilen Geschrieben 7. September 2005 @masterbonsai Ich hatte so einen Verdacht mit dem DNS, aber ich denke das hast Du sicherlich korrekt installiert. Hatte Anfangs Porbs mit dem DNS, weil nicht richtig installiert, erst zweiter Versuch mit anderem DC hatte erfolg. Wird die DNS-Zonendatenbank Datei repliziert? Zitieren Link zu diesem Kommentar
masterbonsai 10 Geschrieben 7. September 2005 Autor Melden Teilen Geschrieben 7. September 2005 hi mike, wenn ich auf dem "fehlerhaften" DC02 ins snap-in "Active Directory-Benutzer und -Computer" gehe .. wird erfolgreich repliziert mit DC01 ... testweise eine OU angelegt und dann geschaut ob sie repliziert wird... habe jetzt noch testweise auf einen anderen thread hier im forum hin eine änderung gemacht, es gibt eine sicherheitsgruppe "CERTSVC_DCOM_ACCESS" und in diese habe ich noch die domaincontroller hinzuugefügt... .... schau mer mal... grüsse und vielen dnak für euere ideen! jochen Zitieren Link zu diesem Kommentar
masterbonsai 10 Geschrieben 8. September 2005 Autor Melden Teilen Geschrieben 8. September 2005 guten morgen zusammen, letztes hat wohl geklappt.. aber schau mer mal... aber: auf meine frage mit dem herabstufen und wieder hochstufen hat mir leider niemand geantwortet. ist das nun möglich? wenn ja welcher aufwand/vorgehensweise ist da nötig? tät mich ja schonmal interessieren. grüsse jochen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.