psychoface 10 Geschrieben 4. Oktober 2005 Melden Teilen Geschrieben 4. Oktober 2005 Hallo Community! Ich habe unsere Domäne um einen neuen Domaincontroller an einem anderen Standort erweitert. Der neue Domaincontroller bezieht Forward- und Reverse-Lookup Zonen erfolgreich vom DC mit FSMO Rolle. Die Zonenübertragung klappt auch wunderbar, siehe Ereignisprotokoll: Ereignis Log des FSMO DC: Die DNS-Serverübertragung der Version 3070 von Zone DOMAIN.LOCAL auf den DNS-Server in 192.168.110.101 wurde ordnungsgemäß durchgeführt. Folgende Fehlermeldung taucht jedoch in der Ereignisanzeige des Verzeichnisdienstes auf. Ereignis Log des FSMO DC: Ereignistyp: Fehler Ereignisquelle: NTDS Replication Ereigniskategorie: Replikation Ereigniskennung: 1699 Datum: 04.10.2005 Zeit: 07:46:42 Benutzer: DOMAIN\SERVER2$ Computer: SERVER Beschreibung: Der lokale Domänencontroller konnte die Änderungen für die folgende Verzeichnispartition nicht erstellen. Der lokale Domänencontroller war daher nicht in der Lage, die Änderungsanforderung an den Domänencontroller der folgenden Netzwerkadresse zu senden. Verzeichnispartition: CN=Configuration,DC=DOMAIN,DC=LOCAL Netzwerkadresse: xxxx._msdcs.DOMAIN.LOCAL Erweiterter Anforderungscode: 0 Zusätzliche Daten Fehlerwert: 8453 Der Replikationszugriff wurde verweigert. Die Zonenübertragung ist auf dem Masterserver natürlich aktiviert. Bin leider mit meinem Latein am ende. Auf allen DCs ist SP1 sowie alle weiteren Windows Updates installiert.Habt ihr noch eine Idee wie ich die Ereignis ID 1699 beseitigen, und die Replikation starten kann? Zitieren Link zu diesem Kommentar
psychoface 10 Geschrieben 5. Oktober 2005 Autor Melden Teilen Geschrieben 5. Oktober 2005 So,das Problem des Verweigerten Replikationszugriffes besteht weiter, ich habe noch ein wenig weitergeforscht. dcdiag gibt auf dem zu Replizierenden DC folgendes aus: Starting test: MachineAccount * The current DC is not in the domain controller's OU * MGV-SRV-DC-EF is not a server trust account * MGV-SRV-DC-EF is not trusted for account delegation The corresponding flag bits are missing from the computer object's User-Account-Control attribute. You can re-run this command and include the /FixMachineAccount option to attempt a repair. Der DC ist definitiv der in OU der Domaincontroller (manuell reingeschoben), gehört der Gruppe der Domänencontroller an und ihn wird bei der Dienstdelegierung über Kerberos vertraut. Das vorgeschlagene FixMachineAccount funktioniert leider auch nicht. Nicht einmal eine Herabstufung über dcpromo ist Möglich, es kommt wieder die Fehlermeldung das der Zugriff verweigert wird, trotz korrekter Eingabe des BN/PW vom Domänen Admin. Jemand eine Idee ob das Maschinenkonto noch irgendwie zu retten ist? Will den Domaincontroller nur im allergrössten Notfall über /forceremoval herabstufen. Zitieren Link zu diesem Kommentar
Lifeforce 10 Geschrieben 5. Oktober 2005 Melden Teilen Geschrieben 5. Oktober 2005 Hi, du hast einen DC an anderem Standort eingerichtet. War an diesem Standort schon ein DC? Die Frage zielt darauf ab, zu erfahren, woher die notwendige Anfangsreplikation kam. Welche Replikationsverknüpfungen sind in AD Standorte und Dienste eingetragen? Welche® DNS-Server ist/sind im neuen DC eingetragen? OU der DomainController: der Standardcontainer Domaincontrollers - wenn ja, warum manuell reingeschoben; wenn nein: von dort nach wo verschoben - und wann? Das reicht erst mal. Gruß Lifeforce Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.