Jump to content

DCDIAG Fehler - Zugriff verweiert


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Hab wieder mal ein Problem :(

 

Windows Domäne mit zwei DCs, ein W2K Server (SP4) und ein W2K3 Server (SP1)

 

Der W2K3 Server wurde in die Domäne als zusätzlicher Domänencontroller eingebunden

und sämtlich FSMO Rollen wurden darauf übertragen.

 

Dann ging plötzlich gar nix mehr (AD synchronisierte nicht mehr) und ich war gezwungen

den neuen Server (W2K3) auf unsanftem Weg (NTDSUTIL) aus der Domäne zu entfernen und die Rollen wieder auf den alten Server zu übertragen.

 

Mittlerweile läuft die Domäne mit beiden DCs wieder so halbwegs (AD synchronisiert)

aber ich erhalte auf dem W2K3 Server ständig Fehler ID 1030 und 1058 bei den GPOs

mit Zugriff verweigert.

 

NETDIAG bring keine Fehler, DCDIAG dafür einige (siehe nächsten Post, ist sonst zu lange):

 

Der Versuch das Computerkennwort per NETDOM /resetpwd zurückzusetzten schlägt aber auch fehl: Zugriff verweigert.

Hat irgender eine Ahnung was ich noch machen könnte OHNE den Server komplett aus der Domain zu entfernen und wieder neu einzubinden ?

 

Danke!

Unleashed

Link zu diesem Kommentar

Hier das DCDIAG Ergebnis:

 

Domain Controller Diagnosis

Performing initial setup:

Done gathering initial info.

Doing initial required tests

Testing server: Standardname-des-ersten-Standorts\FILESRV01

Starting test: Connectivity

FILESRV01 passed test Connectivity

Doing primary tests

Testing server: Standardname-des-ersten-Standorts\FILESRV01

Starting test: Replications

FILESRV01 passed test Replications

Starting test: NCSecDesc

FILESRV01 passed test NCSecDesc

Starting test: NetLogons

[FILESRV01] An net use or LsaPolicy operation failed with error 5, Access is denied..

FILESRV01 failed test NetLogons

Starting test: Advertising

FILESRV01 passed test Advertising

Starting test: KnowsOfRoleHolders

FILESRV01 passed test KnowsOfRoleHolders

Starting test: RidManager

FILESRV01 passed test RidManager

Starting test: MachineAccount

Could not open pipe with [FILESRV01]:failed with 5: Access is denied.

Could not get NetBIOSDomainName

Failed can not test for HOST SPN

Failed can not test for HOST SPN

* Missing SPN : (null)

* Missing SPN : (null)

FILESRV01 failed test MachineAccount

Starting test: Services

Could not open Remote ipc to [FILESRV01]:failed with 5: Access is denied.

FILESRV01 failed test Services

Starting test: ObjectsReplicated

FILESRV01 passed test ObjectsReplicated

Starting test: frssysvol

[FILESRV01] An net use or LsaPolicy operation failed with error 5, Access is denied..

FILESRV01 failed test frssysvol

Starting test: frsevent

FILESRV01 failed test frsevent

Starting test: kccevent

Failed to enumerate event log records, error Access is denied.

FILESRV01 failed test kccevent

Starting test: systemlog

Failed to enumerate event log records, error Access is denied.

FILESRV01 failed test systemlog

Starting test: VerifyReferences

FILESRV01 passed test VerifyReferences

Running partition tests on : ForestDnsZones

Starting test: CrossRefValidation

ForestDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom

ForestDnsZones passed test CheckSDRefDom

Running partition tests on : DomainDnsZones

Starting test: CrossRefValidation

DomainDnsZones passed test CrossRefValidation

Starting test: CheckSDRefDom

DomainDnsZones passed test CheckSDRefDom

Running partition tests on : Schema

Starting test: CrossRefValidation

Schema passed test CrossRefValidation

Starting test: CheckSDRefDom

Schema passed test CheckSDRefDom

Running partition tests on : Configuration

Starting test: CrossRefValidation

Configuration passed test CrossRefValidation

Starting test: CheckSDRefDom

Configuration passed test CheckSDRefDom

Running partition tests on : xxx

Starting test: CrossRefValidation

xxx passed test CrossRefValidation

Starting test: CheckSDRefDom

xxx passed test CheckSDRefDom

Running enterprise tests on : xxx.local

Starting test: Intersite

xxx.local passed test Intersite

Starting test: FsmoCheck

xxx.local passed test FsmoCheck

Link zu diesem Kommentar

Hi,

 

wie hast Du den 2k3 DC ursprünglich hinzugefügt? Vorher adprep /forestprep und adprep /domainprep ausgeführt?

 

Und wie bist du beim und nach dem entfernen des neuen DCs vorgegangen?

Hast du die FSMO Rollen mit seize oder transfer übertragen? Hast Du den 2K3 DC danach komplett neu aufgesetzt und dann wieder hinzugefügt?!

 

Christoph

Link zu diesem Kommentar

Hi!

 

Okay, eingebunden wurde der W2K3 ganz nach Vorschrift eben

mit adprep /forestprep und adprep /domainprep.

 

Danach habe ich die FSMO Rollen per GUI übertragen, also

unter "AD für Benutzer & Computer" den RID-,PDC- und Infrastrukturmaster.

Dann eben unter "AD Domänen und Vertrauensstellungen" den

Domänennamen Betriebsmaster uns schließlich in der Schema-MMC

den Schemamaster - lief alles soweit ohne Fehlermeldung.

 

Ich hab dann noch beide Server auf "Globaler Katalog" konfiguriert

und den W2K DC auf einheitlichen Modus konfiguriert.

 

Nach dem Reboot hatte ich dann eben die Probleme bei Zugriff

und das Problem, daß das AD nicht synchronisierte (allerdings nur bei

neuen Usern, alle die bereits existierten waren sehr wohl da.)

 

Ja, und dann gings an: die Rollen konten nicht mehr zurück

übetragen werden weil der W2K-Server immer meldete dass der momentane Rolleninhaber offline sei.

 

Daher habe ich alles per NTDSUSTIL übertragen: Zuerst mit transfer Roles,

was aber nicht funktionierte. Daher dann eben mit Seize Roles.

Ebenso habe ich sämtlich Dienst wie DNS, DHCP, WINS wieder auf den alten Server zurückgelegt.

 

Nach der Aktion brachte der W2K3 Server dann einige Fehler im Errorlog

welche ich nach und nach behoben habe (http://www.eventid.net).

 

Nach mehreren Reboots hatte ich den W2K3 Serve dann eben soweit, dass er ohne jeglicher Warnung/Fehler bootete - bis dann die 1030 und 1058 Fehler auftraten und ich

tiefer zu suchen begannn und den DCDIAG Fehler sah ...

 

Unleashed

Link zu diesem Kommentar

Hi,

 

wenn Du die FSMO Rollen einmal mit Seize übertragen hast, solltest Du den vorherigen Rolleninhaber erst wieder ins Netz hängen, wenn Du Windows komplett neu installiert hast.

 

Siehe auch:

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/Operations/7db85b1d-3e70-48b9-8fc1-77a13fc35919.mspx

 

Christoph

Link zu diesem Kommentar

Ich denke, es wäre das beste, den W2K3 vom Netz zu nehmen, ihn komplett neu zu installieren.

 

Währenddessen solltest du sämtliche Spuren dieses DCs aus dem AD entfernen (ntdsutil->Metadata cleanup, DNS checken, AD Sites and Services checken).

 

Wenn das geschehen ist, kannst du den 2k3 DC wieder ans Netz hängen und ihn als zusätzlichen DC konfigurieren.

 

Christoph

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...