Windows 2003 incl. Subdomains Globaler Katalog

[derReini 10]

Hallo Windows Gemeinde ;)

 

wiedermal schlage ich mit einem Problem im Forum auf.

 

Kurze Vorgeschichte:

 

Ich betreibe einen Windows 2003 Domain-Forrest mit zwei Domaincontrollern in der Hauptodomain und etlichen Subdomains. Alle Patchseitig auf aktuellem Stand und bis zum Wo-Ende funktionstüchtig.

 

Nun ist mir folgendes Passiert:

 

Einer der beiden Domain-Controller in der Haupdomain -natürlich der Betriebsmaster- ist hin. Nicht einfach ein Konfigurationsproblem sondern so richtig über'n Jordan.

 

Nachdem ich trotz allem noch eine positive Grundeinstellung habe, ging ich leichtfertig davon aus, dass es kein allzu großes Problem sein kann, dem zweiten Domaincontroller (DC2) sämtliche Aufgaben zuzuschieben. Globaler Katalog ist er nach wie vor.

 

Gesagt, getan. DC2 hat nun die RID- PDC- und Infrastrukturmasterrollen.

Aber: Weder kann ich vom Exchange Server Nachrichten abrufen noch kann ich in den Subdomains neue Benutzer erstellen.

Die Fehlermeldung in den Subdomains ist kurz und Eindeutig: Globaler Katalogserver nicht verfügbar :shock:

 

Nun... bin ich ein wenig Ratlos.

 

Wenn jemand einen Rat weis, ich bin für jede Schandtat zu haben.

 

Danke im Vorraus :p

[Christoph35 10]

Hallo, und willkommen an Board!

 

Was ist mit Schema- und Domain-Naming Master? Hat der Root-Domain DC diese Rollen auch?

 

Schau auch mal in den Eigenschaften des/der Exchange Server, auf welchen GC-Server sie zugreifen wollen. Ggf. musst du den noch vorhandenen GC da eintragen.

 

Check auch mal DNS, führe DCDiag und NetDiag aus und poste die Ergebnisse hier. Domain-Namen etc. kannst du ja ggf. ändern.

 

Christoph

[Daim 12]

Servus,

 

du solltest zuerst den gecrashten DC aus dem AD entfernen. Entweder mit NTDSUTIL oder mit ADSIEdit. Gehe dazu diesen Artikel durch:

Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung

 

Das ist ein weiterer Artikel:

Delete Failed DCs from Active Directory

 

Hier kannst Du Dir über NTDSUTIL einen Webcast anschauen:

7WTT TechNet Webcast: Active Directory - Wartung Ihres Verzeichnisdiensts mit NTDSUTIL (Level 200)

 

Du kannst den DC auch mit der ADSIEdit Variante entfernen

 

- Öffne ADSIEdit und verbinde Dich mit der Domain-Partition

- Navigiere zum Contaier "OU=Domain Controllers" und lösche dort die

Einträge des nicht mehr existierenden DCs

- Ebenfalls in der Domain-Partition, löscht Du alle Einträge des DCs auf

folgendem Pfad "CN=Domain System Volume,CN=File Replication

Service,CN=System,DC=<DeineDomäne>,DC=<TLD>

- Dann verbindest Du Dich mit der Configuration-Partition im ADSIEdit und

entfernst alle Einträge des nicht mehr existierenden DCs (z.B.

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=<DeineDomäne>,DC=<TLD>)

- Entferne alle Einträge vom DC, die im DNS und WINS existieren

 

Sind denn die beiden Rollen "Schema-Master" sowie Domänennamenmaster auch auf dem anderen DC vorhanden?

Wie viele GCs existieren denn in deinem Forest? Wenn es die Bandbreite hergibt und nicht zu oft Änderungen im AD vorgenommen werden, würde ich jeden DC zum GC deklarieren.

[derReini 10]

Danke für die schnellen Antworten. Ich wollte euch erstmal nicht mit Informationen erschlagen :D .

 

Frisch von der Serverfront der aktuelle Stand:

 

DC2 ist auch Schema und nun auch Domain-Naming Master. Domain-Naming Master hatte ich vergessen. Somit hat mich dort zuerst ein freundliches "FEHLER" angelächelt. Dies ist nun behoben

 

Daim, der defekte DC ist aus dem AD entfernt.

 

Leider bleibt der erhoffte Erfolg aus.

Folgende Fehlermeldung auf DC2 und bei den Subdomains erscheint, sobald ich einen neuen Benutzer anlegen möchte:

 

"Der Name konnte Aufgrund des folgenden Fehlers beim Kontaktieren des globalen Katalogs nicht als eindeutig verifiziert werden: Der Server ist nicht funktionstüchtig."

 

Dementsprechend erschien auch eine Meldung in der Ereignisanzeige:

 

Verzeichnisdienst:

Active Directory konnte keine Verbindung mit dem globalen Katalog herstellen.

 

Zusätzliche Daten

Fehlerwert:

1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.

Interne Kennung:

3200caf

 

Über Standorte und Dienste ist dieser Server jedoch als globaler Katalog ausgewählt

 

DCDiag bringt einen fehlgeschlagenen Test

Starting test: FsmoCheck

Warning: DcGetDcName(GC_SERVER_REQUIRED) call failed, error 1355

A Global Catalog Server could not be located - All GC's are down.

......................... hiermeinedomain.de failed test FsmoCheck

 

Auch Subomains beinhalten bei mir GC-Server. Wie kann hier der Fehler auftauchen?

Oder gibt es DEN GC-Server, dessen Rolle ich neu vergeben muss?

 

Den Exchange-Server möchte ich (noch) aussenvor halten. Dieser ist noch nicht wirklich in Betrieb und vielleicht gibt sich das Problem ja mit dem GC-Problem.

Einige neue Benutzer haben sich noch nie angemeldet und können dies wohl erst, nachdem deren Konten vom GC Authentifiziert wurden.

 

SOS

[Christoph35 10]

Oder gibt es DEN GC-Server, dessen Rolle ich neu vergeben muss?

 

Nein, jeder DC in einem Forest kann zum GC gemacht werden. Wenn du nicht jeden DC auch als GC konfigurieren willst, solltest Du Infrastrukturmaster und GC Server nicht auf einem DC vereinen.

 

Sieh auf alle Fälle noch mal nach, ob der DC2 wirklich als GC konfiguriert ist (in AD Sites & Services).

 

Check da auch noch mal, ob der ausgefallene DC wirklich nicht mehr im AD zu sehen ist. Prüfe auch noch mal in der _msdcs.deinedomain.com DNS Zone, ob dort noch falsche Einträge vorhanden sind, oder ob dort Einträge fehlen.

 

Christoph

[Daim 12]

Dein Grundproblem ist weiterhin das DNS.

Der gecrashte DC sollte aus DNS sowie AD definitiv entfernt sein.

Weiterhin empfehle ich dir jeden DC zum GC zu machen (mit den bereits oben genannten Bedingungen).

Dann kontrolliere das DNS ob die SRV-Records existieren und richtig gesetzt sind.

Die Einträge:

 

_gc

_kpasswd

_kerberos

_ldap

 

sind elementar.

 

Lese:

Fehlermeldung: Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden

[derReini 10]

So, ich komme der Sache schon näher.

 

Ich habe nochmals alle Rollen überprüft. Sie liegen definitiv auf DC2.

Der gecrashte DC ist weder im DNS noch im Active-Directory vorhanden.

Jeder DC (alle mit DNS) im Forest ist GC.

 

Der Eintrag _gc hat im DNS von DC2 gefehlt. Ich habe ihn mit Port 3268 und Gewichtung 100 unter _tcp.meinedomäne.de eingetragen.

Zudem war der DHCP-Client auf dem Server deaktiviert.

Der Server selbst nutzt zwar kein DHCP, benötigt den Dienst wohl aber zur DNS-Registrierung.

 

Nach genauer Beobachtung sind daraufhin auch alle Fehlermeldungen verschwunden, die ein Problem mit der Abarbeitung der Richtlinien beschrieben haben.

 

Es scheint aber, dass es noch nicht zur Lösung beigetragen hat.

Folgende Fehlermeldung lächelt mich aus der Ereignisanzeige-Verzeichnisdienst an:

 

Active Directory konnte keine Verbindung mit dem globalen Katalog herstellen.

 

Zusätzliche Daten

Fehlerwert:

1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung

hergestellt werden.

Interne Kennung:

3200caf

 

 

Wenn ich den GC per Script aktivieren möchte, sagt mir eine Fehlermeldung, dass der Server nicht funktionstüchtig ist.

 

Die NSLookup-Rückmeldungen sehen meiner Ansicht nach gut aus:

(w2k302kn=DC2, w2k301kn=neuer DC)

 

> _ldap._tcp.meinedomain.de

Server: w2k302kn.meinedomain.de

Address: 172.24.24.2

 

_ldap._tcp.meinedomain.de SRV service location:

priority = 0

weight = 100

port = 389

svr hostname = w2k301kn.meinedomain.de

_ldap._tcp.meinedomain.de SRV service location:

priority = 0

weight = 100

port = 389

svr hostname = w2k302kn.meinedomain.de

w2k301kn.meinedomain.de internet address = 172.24.24.22

w2k302kn.meinedomain.de internet address = 172.24.24.2

> _gc._tcp.meinedomain.de

Server: w2k302kn.meinedomain.de

Address: 172.24.24.2

 

_gc._tcp.meinedomain.de SRV service location:

priority = 0

weight = 100

port = 3268

svr hostname = w2k301kn.meinedomain.de

_gc._tcp.meinedomain.de SRV service location:

priority = 0

weight = 100

port = 3268

svr hostname = w2k302kn.meinedomain.de

w2k301kn.meinedomain.de internet address = 172.24.24.22

w2k302kn.meinedomain.de internet address = 172.24.24.2

 

_kpasswd und _kerberos bringen gleiche Meldungen.

 

Naja, ich suche weiter und berichte hier über Ergebnisse.

 

Danke für die bisherige Unterstützung :wink2:

[derReini 10]

Endlich geschafft.

 

Ursache war Folgendes:

 

Die Domänen-Controller waren zwar alle als GC ausgewählt und die Rollen richtig verteilt,

jedoch wurde der entgültige Schritt zum GC nicht ausgeführt.

 

Mit den bisherigen Änderungen erschienen aufeinanderfolgend folgende Info-Meldungen in den Verzeichnis-Ereignissen:

 

Ereignistyp: Informationen

Ereignisquelle: NTDS Replication

Ereigniskategorie: Globaler Katalog

Ereigniskennung: 1578

Datum: 31.05.2007

Zeit: 12:24:56

Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG

Computer: W2K301KN

Beschreibung:

Das Heraufstufen dieses Domänencontrollers zu einem globalen Katalog wurde verzögert, da die Belegbedingungen der Verzeichnispartition nicht erfüllt sind. Die Belegbedingungsebene und die aktuelle Ebene des Domänencontroller sind wie folgt.

 

Belegbedingungsebene:

6

Ebene des Domänencontrollers:

4

 

Der folgende Registrierungsschlüsselwert definiert die Belegbedingungsebene für die Verzeichnispartition.

 

Registrierungsschlüsselwert:

HKeyLocalMachine\System\ CurrentControlSet\Services\NTDS\Parameters\Global Catalog Partition Occupancy

 

Höhere Belegbedingungsebenen enthalten die niedrigeren Ebenen. Die Ebenen sind folgendermaßen definiert:

 

(0) Keine Belegbedingung.

(1) Mindestens eine schreibgeschützte Verzeichnispartition am Standort wurde von der Konsistenzprüfung hinzugefügt.

(2) Mindestens eine Verzeichnispartition am Standort wurde vollständig synchronisiert.

(3) Alle schreibgeschützten Verzeichnispartitionen am Standort wurden von der Konsistenzprüfung hinzugefügt (mindestens eine wurde synchronisiert).

(4) Alle Verzeichnispartitionen am Standort wurden vollständig synchronisiert.

(5) Alle schreibgeschützten Verzeichnispartitionen in der Gesamtstruktur wurden von der Konsistenzprüfung hinzugefügt (mindestens eine wurde synchronisiert).

(6) Alle Verzeichnispartitionen in der Gesamtstruktur wurden vollständig synchronisiert.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter Events And Errors Message Center: Basic Search.

 

 

Somit bin ich zu der genannten Stelle in der Registrierung gehüpft und habe gemerkt, dass der genannte Eintrag nicht existierte.

Nun habe ich den Eintrag manuell gesetzt (DWORD= 1, dezimal) und nach einem Neustart des Servers wurde der Eintrag "Global Catalog Promotion Complete" an gleicher Stelle der Registrierung hinterhergeschrieben.

 

Das war anscheinend der ganze Spaß.

Anmeldungen, das Anlegen von neuen Benutzern und die Exchange-Serverdienste funktionieren tadellos!

 

Ich kauf mir erst mal ne dicke Zigarre :D

[Daim 12]

OK. Schön das es funktioniert.

Mit den Fehlermeldungen sowie Event IDs lässt sich das ganze auch recht einfach nachvollziehen.

[Daim 12]

Zudem war der DHCP-Client auf dem Server deaktiviert.

Der Server selbst nutzt zwar kein DHCP, benötigt den Dienst wohl aber zur DNS-Registrierung.

 

Noch ein Nachtrag zu oben stehender Aussage:

Für das dynamische DNS Update ist nicht etwa wie es zu erwarten wäre der DNS-Client zuständig, sondern ein DDNS fähiger DHCP-Client (so wie er in den Windows Betriebssystemen existiert).

 

Trotzdem solltest du sicherheitshalber deine DCs mit DCDIAG /v sowie NetDIAG /v überprüfen. Beide Tools befinden sich in den Windows Support Tools, die sich wiederum auf der Windows Server 2003 CD befinden.