Jump to content

Fehler 13508, kein SYSVOL und Probleme mit Dateireplikationsdienst


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Die Ausgangslage:

 

Ich habe 2 alte DCs Windows 2000 Server (ich nenne die mal DC1 und DC2) die durch 2 neue DCs Windows 2003 Server ersetz werden sollen. Dazu habe ich das AD-Schema der W2k-Server mit Hilfe von ADPREP an das Schema von 2003-Servern angepasst und die beiden neuen DC (DC3 und DC4) in das AD integriert.

 

Dann habe ich alle 5 FSMO-Funktionen von DC1 auf DC3 verschoben. Hier musste ich schon länger rumfummeln, da die beiden alten DC1 und DC2 in jeder Hinsicht verhunzte Maschinen sind. Schlussendlich ist es dann gelungen. Dann habe ich für die beiden neuen DC3 und DC4 den globalen Katalog aktiviert. Beide melden im Ereignisprotokoll auch die erfolgreiche Übernahem der Funktion mit Ereignis 1119.

 

Fehler die nun auftreten:

 

Die alten DC1 und DC2 sollen nach Übernahme aller Funktionen durch DC3 und DC4 aus der Domäne genommen werden. Wenn ich nun DC1 herunterfahre, können sich die User nicht mehr an der Domäne anmelden. Das Log an DC3 meldet „Das AD konnte keine Verbindung zum globalen Katalog herstellen“. Es stellte sich heraus, dass immer noch der GL-Server DC1 gesucht wurde.

 

Ich habe dann nach dem Fehler gesucht und im Log des DC3 unter Dateireplikationsdienst den Fehler 13508 gefunden: „Der Dateireplikationsdienst konnte die Replikation von DC1 nach DC2 für c:\windows\sysvol\domain mit DNS-Namen dc1.main1.beispiel.de nicht aktivieren. Es wird ein neuer Versuch gestartet.

 

Weiterhin habe ich festgestellt, dass auf DC3 der SYSVOL-Ordner leer ist und keine Freigabe sysvol existiert.

 

Was ich dann probiert habe:

 

Natürlicherst mal Google gequält und in allen möglichen Foren gesucht. Da habe ich einige Tipps gefunden deren Anwendung folgende Ergebnisse erbrachte:

 

1. DNS scheint OK zu sein, ich kann von DC3 DC1 anpingen über die IP, über DC1 und über DC1.main1.beispiel.de

 

2. Ich habe NTFRS gestoppt, in der Registry Burflags auf „D2“ gestellt und NTFRS neu gestartet. Ergebnis: Log meldet nach einiger Zeit wieder Fehler 13508, Sysvol fehlt immer noch.

 

3. DCDIAG ergab folgende Fehler (die Punkte die OK sind habe ich weggelassen):

 

Unable to connect to the NETLOGON share! (\\EXCHANGE2007\netlogon)

[EXCHANGE2007] An net use or LsaPolicy operation failed with error 1203, Der angegebene Netzwerkpfad wurde von keinem Netzwerkdienstanbieter angenommen..

......................... EXCHANGE2007 failed test NetLogons

Starting test: Advertising

Warning: DsGetDcName returned information for \\exchangesrv.main1.beispiel.de, when we were trying to reach EXCHANGE2007.

Server is not responding or is not considered suitable.

Starting test: frsevent

There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems.

......................... EXCHANGE2007 failed test frsevent

 

4. NETDIAG ergab folgende Fehler (die Punkte die OK sind habe ich weggelassen):

 

Global results:

Domain membership test . . . . . . : Failed

[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.

[WARNING] Cannot find a primary authoritative DNS server for the name

'dc3.main1.beispiel.de.'. [ERROR_TIMEOUT]

The name ''dc3.main1.beispiel.de.' may not be registered in DNS.

PASS - All the DNS entries for DC are registered on DNS server '192.168.205.2' and other DCs also have some of the names registered.

[WARNING] The DNS entries for this DC are not registered correctly on DNS server '192.168.205.229'. Please wait for 30 minutes for DNS server replication.

PASS - All the DNS entries for DC are registered on DNS server '192.168.205.4' and other DCs also have some of the names registered.

Anmerkung: .229 ist der Firewall-Router ins Internet.

 

Das Problem:

 

Ich habe immer noch die besch. Fehler! Kann mir jemand helfen? Ich bedanke mich schon jetzt herzlich im Voraus für jede Hilfe!

Link zu diesem Kommentar

Aloha,

 

Dann habe ich alle 5 FSMO-Funktionen von DC1 auf DC3 verschoben. Hier musste ich schon länger rumfummeln, da die beiden alten DC1 und DC2 in jeder Hinsicht verhunzte Maschinen sind.

 

Dann hätte man (je nachdem) erstmal die bestehenden DCs richtig konfigurieren sollen, um eine saubere Ausgangsbasis zu schaffen.

 

 

Schlussendlich ist es dann gelungen.

 

Scheinbar ja doch nicht...

 

 

Die alten DC1 und DC2 sollen nach Übernahme aller Funktionen durch DC3 und DC4 aus der Domäne genommen werden. Wenn ich nun DC1 herunterfahre, können sich die User nicht mehr an der Domäne anmelden. Das Log an DC3 meldet „Das AD konnte keine Verbindung zum globalen Katalog herstellen“. Es stellte sich heraus, dass immer noch der GL-Server DC1 gesucht wurde.

 

Kontrolliere auf DC3 ob der Registry-Eintrag "Global Catalog Promotion Complete" im Schlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

mit dem Wert 1 existiert. Falls nicht, ist der DC noch kein GC.

 

Yusuf`s Directory - Blog - Globaler Katalog – Sein oder nicht sein

 

 

Falls der Schlüssel dort nicht existiert, setze mal diesen Schlüssel und starte den DC neu:

HKLM\System\ CurrentControlSet\Services\NTDS\Parameters\Global Catalog Partition Occupancy mit DWORD 1.

Nach einem Neustart "sollte an gleicher Stelle in der Registry, dieser Schlüssel auftauchen "Global Catalog Promotion Complete".

 

 

Ich habe dann nach dem Fehler gesucht und im Log des DC3 unter Dateireplikationsdienst den Fehler 13508 gefunden: „Der Dateireplikationsdienst konnte die Replikation von DC1 nach DC2 für c:\windows\sysvol\domain mit DNS-Namen dc1.main1.beispiel.de nicht aktivieren. Es wird ein neuer Versuch gestartet.

 

Das sind aber völlig verschiebene Probleme. Das der DC nicht als GC erkannt wird ist das eine Problem, dass sich das SYSVOL nicht repliziert, dass andere...

Im übrigen ist der Fehler 13508 ein Folgeproblem. Das Ursprungsproblem dürfte auf dem DC liegen, der die Fehler-ID 13568 protokolliert.

 

 

Weiterhin habe ich festgestellt, dass auf DC3 der SYSVOL-Ordner leer ist und keine Freigabe sysvol existiert.

 

Das ist das Resultat der oben erwähnten Meldung (13508).

 

 

... to becontinued!

Link zu diesem Kommentar
1. DNS scheint OK zu sein, ich kann von DC3 DC1 anpingen über die IP, über DC1 und über DC1.main1.beispiel.de

 

NSLOOKUP bringt dann ebenfalls keine Fehler...?

 

 

2. Ich habe NTFRS gestoppt, in der Registry Burflags auf „D2“ gestellt und NTFRS neu gestartet. Ergebnis: Log meldet nach einiger Zeit wieder Fehler 13508, Sysvol fehlt immer noch.

 

Wenn im Dateireplikationsdienst-Protokoll die Event-ID 13568 (Journalumbruch-Fehler) auf einem DC protokolliert wird, liegt ein Problem mit dem System Volume-Verzeichnis (SYSVOL) vor. Das SYSVOL stellt eine Sammlung von Dateien, Ordnern und Bereitstellungspunkten (Junction Points) im Dateisystem dar. Es ist ein freigegebenes Systemvolume auf Domänencontrollern worin sich Gruppenrichtlinienobjekte, Gruppenrichtlinienvorlagen, Anmeldeskripte und weitere Dateien befinden. Dieses Verzeichnis wird auf alle anderen Domänencontroller der Domäne repliziert.

Das SYSVOL-Verzeichnis wird vom File Replication Service (NTFRS.exe) und nicht durch die Active Directory-Replikation repliziert. Sobald eine Änderung in diesem Verzeichnis auftritt, repliziert der FRS automatisch diese Änderung auf die anderen Domänencontroller.

 

Wenn es um das Troubleshooting des FRS geht, sind die Tools:

Sonar

Download details: Sonar.exe: File Replication Service (FRS) Status Viewer

Ultrasound

Download details: Ultrasound - Monitoring and Troubleshooting Tool for File Replication Service (FRS)

FRSDiag

Download details: File Replication Service Diagnostics Tool (FRSDiag.exe)

NTFRSUTL

Download details: Windows Server 2003 Service Pack 1 32-bit Support Tools

 

hilfreich.

 

In der Beschreibung des Fehlers 13568, wird auch gleich die Lösung mitgeliefert.

Diese lautet:

 

Führen Sie regedit aus, um diesen Registrierungsparameter zu ändern.

Klicken Sie auf "Start", dann auf "Ausführen", und geben Sie dann "regedit" ein.

Erweitern HKEY_LOCAL_MACHINE.

Folgen Sie folgendem Pfad: "System\CurrentControlSet\Services\NtFrs\Parameters"

Doppelklicken Sie auf den Namen des Wertes

"Enable Journal Wrap Automatic Restore"

und aktualisieren Sie den Wert.

Ist der Name des Wertes nicht vorhanden, können Sie ihn mit dem Befehl "Neu" und dann "DWORD-Wert " im Menü "Bearbeiten" hinzufügen. Geben Sie den Wert genauso ein wie oben gezeigt.

 

Mit diesem Registry-Eintrag wir eine nicht autorisierte Wiederherstellung des SYSVOLs durchgeführt. Dieses macht natürlich nur dann Sinn, wenn es mehr als einen DC gibt.

Der Reg.-Schlüssel "Enable Journal Wrap Automatic Restore" wird aber seit Windows 2000 SP3 von Microsoft nicht mehr empfohlen. Wobei er aber auch HEUTE noch unter Windows Server 2003 funktioniert.

 

 

Überprüfe also zuerst:

- Überprüfe auf den DCs, ob das SYSVOL Verzeichnis komplett (Skripte und Policys vorhanden?) sind und auch freigegeben ist (net share).

- Prüfe des weiteren ob die Junction Points existieren (CMD - C:\%windir%\sysvol\sysvol\ dort ein dir ausführen).

 

Im Idealfall sollte das alles auf einem der DCs der Fall sein.

 

Wenn das alles soweit in Ordnung ist, stoppst du auf allen Maschinen den NTFRS Dienst.

Gehe dazu auf den DCs in der Kommandozeile (CMD) und gib folgenden Befehl ein: "net stop ntfrs".

 

Auf dem DC, der alle Vorraussetzungen erfüllt (also alles vorhanden ist) setzt du unter folgendem Registry-Pfad

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\<GUID>"

den Schlüssel Burflags D4.

 

 

...to be continued.

Link zu diesem Kommentar

Auf den anderen DCs der Domäne entfernst du den Inhalt der beiden Ordner Policy sowie Script und setzt unter dem gleichen Registry-Pfad den Schlüssel Burflags D2.

 

Danach startest du ZUERST auf dem vollständigen DC den NTFRS-Dienst (net start ntfrs) und wartest ein paar Minuten. Es muss zwingend der Event-Eintrag 13516 protokolliert werden. Wenn dieser erschienen ist, startest du auf den anderen DCs den NTFRS Dienst.

 

Danach gedulde dich ein wenig und überprüfe ob die Replikation stattfindet.

Wenn das alles funktioniert, überprüfe ob das SYSVOL freigegeben wurde, den Inhalt stimmt und die Junction Points existieren. Vor allen dingen behalte das Eventlog im Auge.

 

Der relevante Artikel an den du dich zu halten hast, ist dieser:

How to rebuild the SYSVOL tree and its content in a domain

 

 

Ergänzung:

Unter dem Registry-Pfad befindet sich unter der Ebene "Cumulative Replica

Sets" eine GUID.

Siehe:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets\<GUID>

 

Unter "Cumulative Replica Sets" existiert i.d.R. EINE GUID, diese ist

diejenige für das SYSVOL und dort erstellst du dann den Burflags Schlüssel

(ist auch im erwähnten Artikel beschrieben).

Wäre DFS noch im Einsatz, gäbe es noch einen weiteren Eintrag mit einer

anderen GUID.

 

Nach dem Start von NTFRS bleibt den Burflags Schlüssel vorhanden, nur der

Wert wird "genullt".

 

 

... to be continued.

Link zu diesem Kommentar
.... diverse DCDIAG/NetDIAG Fehler...

 

Global results:

Domain membership test . . . . . . : Failed

[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.

[WARNING] Cannot find a primary authoritative DNS server for the name

'dc3.main1.kabeltec.de.'. [ERROR_TIMEOUT]

The name ''dc3.main1.beispiel.de.' may not be registered in DNS.

 

 

Sorry wenn ich das so sage, aber du hast mehrere Probleme.

Das DNS ist dabei elementar. Das scheint wohl am wenigsten OK zu sein.

Dort solltest du zuerst anfangen. Das DNS sollte auf allen DCs installiert werden und die Forward Lookup Zone sollte AD-integriert gespeichert sein. In den TCP/IP-Einstellungen der DCs steht als "Bevorzugter DNS-Server" eine echte IP-Adresse und nichr die Localhost-Adresse.

 

Führe ein DCDIAG /FIX sowie NETDIAG /FIX aus.

Link zu diesem Kommentar

Das Problem war, dass die alten DC1 und DC2 so wackelig waren, dass ich froh war die notwendigen Daten und Funktionen auf die neuen DC3 und DC4 zu bringen!

 

„Kontrolliere auf DC3 ob der Registry-Eintrag "Global Catalog Promotion Complete" im Schlüssel

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

mit dem Wert 1 existiert. Falls nicht, ist der DC noch kein GC.“

 

Hab ich gemacht, der Wert war 1

 

„Falls der Schlüssel dort nicht existiert, setze mal diesen Schlüssel und starte den DC neu:

HKLM\System\ CurrentControlSet\Services\NTDS\Parameters\Global Catalog Partition Occupancy mit DWORD 1.

Nach einem Neustart "sollte an gleicher Stelle in der Registry, dieser Schlüssel auftauchen "Global Catalog Promotion Complete".“

 

Der Schlüssel war nicht da, hab ihn angelegt mit Wert 1 und den Server neu gestartet. Global Catalog Promotion Complete war dann mit Wert 1 vorhanden.

 

NSLOOKUP auf DC3 bringt keinen Fehler sondern: dc3.main1.beispiel.de und die richtige IP.

 

Ich habe im Log des Dateireplikationsdienstes KEINEN Fehler 13568.

 

„Führen Sie regedit aus, um diesen Registrierungsparameter zu ändern.

Klicken Sie auf "Start", dann auf "Ausführen", und geben Sie dann "regedit" ein.

Erweitern HKEY_LOCAL_MACHINE.

Folgen Sie folgendem Pfad: "System\CurrentControlSet\Services\NtFrs\Parameters"

Doppelklicken Sie auf den Namen des Wertes

"Enable Journal Wrap Automatic Restore"

und aktualisieren Sie den Wert.

Ist der Name des Wertes nicht vorhanden, können Sie ihn mit dem Befehl "Neu" und dann "DWORD-Wert " im Menü "Bearbeiten" hinzufügen. Geben Sie den Wert genauso ein wie oben gezeigt.“

 

Hab ich gemacht und dann den Server DC3 neu gestartet. Es kommt wieder Fehler 13508. SYSVOL, die Freigaben und deren Inhalte sind immer noch nicht da auf DC3. Auf dem DC1 kann ich es nicht kontrollieren, weil ich über VPN auf die Server an einem anderen Standort zugreife und die W2k-Server keine Remotedesktopverbindung aufbauen kann.

 

Die Burflag-Geschichte kann ich erst im Laufe der Woche testen wenn ich wieder vor Ort bin.

 

„Sorry wenn ich das so sage, aber du hast mehrere Probleme.

Das DNS ist dabei elementar. Das scheint wohl am wenigsten OK zu sein.

Dort solltest du zuerst anfangen. Das DNS sollte auf allen DCs installiert werden und die Forward Lookup Zone sollte AD-integriert gespeichert sein. In den TCP/IP-Einstellungen der DCs steht als "Bevorzugter DNS-Server" eine echte IP-Adresse und nichr die Localhost-Adresse.“

 

Da hast Du wohl recht! Die alten DC1 und DC2 sind total verhunzt, haben Probleme mit der Hardware, wurden nie gepflegt. Wenn man die neu startet muss man immer beten, dass sie wieder hochfahren. Daher will ich die ja loswerden. DNS-Server sind auf DC1 und DC3, auf DC3 verweist die TCP/IP-Einstellung, so wie es sein soll, auf seine eigene IP bei bev. DNS-Server. Die Forward Lookup Zone ist AD-integriert.

 

„Führe ein DCDIAG /FIX sowie NETDIAG /FIX aus.“

 

Hab ich. Danach noch mal DCDIAG ausgeführt, es kamen die gleichen Fehler wie eingangs beschrieben. NETDIAG ergab interessanterweise eine Veränderung:

 

PASS – All the DNS entries for DC are registered on DNS server 192.168.205.2 (das ist DC3) and other DCs also have some of the names registered.

 

Vorher war da noch:

 

[WARNING] Cannot find a primary authoritative DNS server for the name

'dc3.main1.beispiel.de.'. [ERROR_TIMEOUT]

The name ''dc3.main1.beispiel.de.' may not be registered in DNS.

 

Das ist nun OK!

 

[Warning] The DNS entries for this DC are not registered correctly on DNS server 192.168.205.4 (das ist der alte DC1).

 

... weiter geht es unten....

Link zu diesem Kommentar

Zusammenfassung:

 

Hab ich das richtig verstanden? Der Fehler 13508 ist das Problem mit dem SYSVOL-Verzeichnis. Den kann ich beheben mit der Burflags-Vorgehensweise ich die aber erst vor Ort ausprobieren kann?

 

Der zweite Fehler ist die Sache dass die Clients auf den alten globalen Katalog-Server DC1 zugreifen wollen und nicht auf den neuen DC3. Das ist ein DNS-Problem und müsste jetzt behoben sein?

 

Nochmals vielen, vielen Dank für Deine umfassende und nette Hilfe! Ich melde mich umgehend, sobald auch die Burflags ausprobiert sind mit dem Ergebnis. Wenn ich mit Deiner Hilfe die Probleme beseitigen kann, schulde ich Dir was! Da müssen wir dann einen Weg finden meine Schuld abzutragen!!! :)

Link zu diesem Kommentar
Der Schlüssel war nicht da, hab ihn angelegt mit Wert 1 und den Server neu gestartet. Global Catalog Promotion Complete war dann mit Wert 1 vorhanden.

 

Ist der DC nun ein GC bzw. gibt er sich auch als GC im AD/DNS bekannt ?

Mach mal ein TELNET DC-NAME 3268 in der Kommandozeile. Falls danach ein blinkender Cursor erscheint, horcht der DC auf Port 3268.

Kontrolliere zusätzlich das DNS, ob sich der DC mit seinen SRV-Records als GC eingetragen hat.

 

 

Hab ich das richtig verstanden? Der Fehler 13508 ist das Problem mit dem SYSVOL-Verzeichnis

 

Der Fehler 13508, 13509, 13568 u.v.m. deuten auf Probleme des System Volume - SYSVOLs hin.

 

 

Den kann ich beheben mit der Burflags-Vorgehensweise ich die aber erst vor Ort ausprobieren kann?

 

Nein, nicht den Fehler 13508. Der Fehler 13508 gibt an, dass sich der DC, genauer der NTFRS, sich nicht mit dem DC gegenüber replizieren konnte. Das ist hier genau das PRoblem. Warum konnte er sich nicht mit dem gegenüber replizieren. DAs kann viele Ursachen haben, was es aufzuspüren gilt.

Gehe einfach diesen Artikel durch (13508 ohne 13509).

Betriebshandbuch für Active Directory: Problembehandlung für den Dateireplikationsdienst

 

 

Der zweite Fehler ist die Sache dass die Clients auf den alten globalen Katalog-Server DC1 zugreifen wollen und nicht auf den neuen DC3. Das ist ein DNS-Problem und müsste jetzt behoben sein?

 

Genau, dass liegt am DNS. Der Client ist auf folgende DNS-Records angewiesen:

 

- _kerberos

- _ldap

- _kpasswd

- _gc

 

Kontrolliere das DNS, ob dort der neue DC drin steht.

Hatte ich schon erwähnt, dass das DNS elementar ist ? ;-)

 

 

Ich melde mich umgehend, sobald auch die Burflags ausprobiert sind mit dem Ergebnis.

 

Wenn lediglich 13508 erscheint, brauchst du Burflags nicht zu setzen. Das hat/muss andere Ursachen haben.

Link zu diesem Kommentar

Danke Volvotrucker! Deine Hilfe hat mir klar gemacht, ich hab Daim falsch verstanden! Ich habe den Fehler 13568 auf dem neuen DC3 gesucht, der ist aber auf dem alten DC1. Da muss ich dann die von Daim und Dir genannte Maßnahme durchführen. Ich hoffe bald Zeit für den Versuch zu finden! Bin gespannt (Komme per VPN nicht auf den DC1 da w2k-Server, muss hin zum Ausprobieren!)!

 

Ich danke Dir für Deinen Beitrag und wünsch Dir einen schönen Abend!

Link zu diesem Kommentar

Danke Euch beiden!!! :-)

 

Der DC3 (neu) reagiert auf TELNET DC3 3268! Der GC scheint aktiv zu sein!

 

Im DNS-Server stehen nun der alte DC1 und der neu DC3 als _gc eingetragen. Ich muss vor Ort noch kontrollieren was der DNS-Server auf dem DC1 sagt!

 

Du Daim? hab ich das jetz begriffen? Fehler 16508 tritt auf meinem neuen DC3 (übrigens auch auf dem neuen DC4) auf. Die Ursache dafür ist mein Fehler 13568 auf dem alten DC1. Den geh ich an mit der von Dir und Volvotrucker genannten Vorgehensweise. Ist 13568 auf DC1 weg, klappts auch mit dem Nachbarn DC3 und DC4 die dann nicht mehr 16508 flöten!!!!??????

 

Manch brauchen etwas länger um die Welt zu begreifen! Sorry!

 

Melde mich wenn ich vor Ort war!

 

Nochmals danke für Eure Hilfe und Geduld!

 

Gute Nacht!!!................. :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...