2k3: fehlerhafte DC-Funktion, fehlende DC-Freigaben

[robotroonie 10]

Hallo,

 

habe einen (weiteren) DC im Netz aufgesetzt, der aber scheinbar Probleme hat:

 

- Sysvol- und Netlogon-Freigaben fehlen

- Befehl dcdiag: DSGETDCNAME gibt einen anderen Namen zurück (entweder Server a oder Server b am gleichen Standort; richtig wäre Server c) > failed Test advertising

- im Log stehen Fehler des Dateireplikationsdienstes (ID 13508)

- repadmin /showreps ergab LDAP error 81 (Server heruntergefahren) Win32 Error58 > dieser Fehler scheint behoben

- Replikationstopologie überprüfen bringt Fehler "Die Verzeichniseigenschaft wurden nicht im Cache gefunden" (auf den anderen Server fkt dies)

 

Der Server hat 2k3 SP2 installiert; DNS-Funktion wurde erst eine Weile nach dcpromo hinzugefügt (liegt hier der Fehler?). DC hat globalen Katalog. Replikationsverknüpfungen wurden manuell erstellt. DNS ist AD-integriert. 5 Server befinden sich an 3 Standorten (an dem betreffenden 3 Server)

 

Was kann man da noch tun?

Mit dcpromo herunter- und dann wieder heraufstufen ist wohl nicht ganz risikofrei.

Ein händisches Anlegen der 2 System-Freigaben dürfte wohl kaum alle Pobleme lösen, sondern nur Symptome kurieren

 

Wie verhält sich das, wenn ich einen Server manuell aus dem AD entferne und dann (ein paar Stunden später) einen mit gleichem Namen wieder mit dcpromo hinzufüge? Ist es möglich, dass die Replikation des gelöschten Servers noch nicht abgeschlossen ist?

Nach der 1. Inst. des Servers gab es (nach dcpromo) nämlich ein Problem mit einem beschädigten Raid, daraufhin wurde genau das durchgeführt.

 

Den gKat habe ich nun wieder entfernt, da es am Standort noch einen gibt. PDC-, RID- und Infrastrukturmaster gibts auch am Standort - natürlich auf einem Server ohne gKat.

[stefanlo 10]

Hai,

 

ich habe es nach folgender Anleitung gemacht, vielleicht hilfts Dir auch:

 

Yusuf's Directory Blog

 

Grüsse

Stefan

[robotroonie 10]

Fehler bei Netdiag:

 

Domain membership test . . . . . . : Failed

[WARNING] Ths system volume has not been completely replicated to the local machine. This machine is not working properly as a DC.

 

Klar, liegt an der fehlenden Freigabe. Sonst offenbar keine gravierenden Fehler.

 

 

ldp bringt folgendes:

 

3> supportedCapabilities: 1.2.840.113556.1.4.800; 1.2.840.113556.1.4.1670; 1.2.840.113556.1.4.1791;

1> isSynchronized: TRUE;

1> isGlobalCatalogReady: FALSE;

1> domainFunctionality: 0 = ( DS_BEHAVIOR_WIN2000 );

1> forestFunctionality: 0 = ( DS_BEHAVIOR_WIN2000 );

1> domainControllerFunctionality: 2 = ( DS_BEHAVIOR_WIN2003 );

[Daim 12]

Servus,

 

- im Log stehen Fehler des Dateireplikationsdienstes (ID 13508)

 

kontrolliere das NTFRS-Log im Eventlog des anderen DCs ob dort die Event-ID 13568 protokolliert wird. Erst wenn das der Fall wäre, gehts an die Lösung ;).

[robotroonie 10]

Folgendes: DC an anderem Standort und anderer DC (Exchange) am gleichen Standort: nichts feststellbar.

 

DC 2 am gleichen Standort enthält einen Eintrag etwa zu dem Zeitpunkt des dcpromo auf dem betroffenen DC:

ID 13562

Das nTFRSMember-Objekt cn=xxx,cn=domain system volume (sysvol share),cn=file replication service,cn=system,dc=xxx,dc=local hat einen ungültigen Wert für das Attribut frsComputerReference.

 

Ist aber auch möglich, dass sich das auf die erste Installation auf dem betroffenen DC bezieht.

 

Am betroffenen DC eine Stunde später folgender Eintrag:

 

Der Dateireplikationsdienst initialisiert den Systemdatenträger mit Daten eines anderen Domänencontrollers. Der Computer "xxx" kann nicht zum Domänencontroller benannt werden, bis dieser Vorgang beendet ist. Das Systemvolumen wird dann unter SYSVOL freigegeben.

 

Um die SYSVOL-Freigabe zu überprüfen, geben Sie an der Eingabeaufforderung folgendes ein:

net share

 

Wenn der Dateireplikationsdienst den Initialisierungsvorgang beendet, erscheint die SYSVOL-Freigabe.

 

Die Initialisierung des Systemdatenträgers kann einige Zeit in Anspruch nehmen. Der Zeitaufwand ist von der Datenmenge im Systemdatenträger, der Verfügbarkeit anderer Domänencontroller, und dem Replikationsintervall zwischen anderen Domänencontrollern abhängig.

 

 

Erstellt wurde diese vom System bis jetzt nicht.

 

2 Minuten später (bis jetzt) dann immer weider ID 13508

 

Nachdem ich nun vorhin die 2 Freigaben selbst erstellt habe (Rechte und Inhalt wie auf den anderen; einige Ordner waren zT schon vorhanden, jedoch keine Freigabe) nun der Fehler 13567

 

Der Dateireplikationsdienst hat durchschnittlich mindestens 15 Dateiupdates in den letzten 3 Stunden ermittelt und unterdrückt, weil die Updates die Inhalte der Datei nicht verändert haben. Die Ablaufverfolgungs- einträge in den Debugprotokolldateien des Dateireplikationsdienstes enthalten den Dateinamen und die Ereigniszeit der unterdrückten Updates. Die Ablaufverfolgungseinträge enthalten das Datum und die Uhrzeit gefolgt von :T: als Präfix.

 

Updates, die die Inhalte der Dateien nicht ändern, werden unterdrückt, um unnötige Replikationsaktivitäten zu verhindern. Folgende sind allgemeine Beispiele für Updates, die die Inhalte der Dateien nicht verändern.

 

[1] Eine Datei mit der Kopie der gleichen Datei überschreiben.

[2] In einer Datei mehrfach die gleichen ACLs setzen.

[3] Identische Kopie der Datei einer bestehenden Datei wiederherstellen.

 

Unterdrückung von Updates kann durch das Ausführen von "regedit" deaktiviert werden.

 

Klicken Sie auf "Start" und dann auf "Ausführen", und geben Sie "regedit" ein.

 

Erweitern Sie HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, NtFrs, Parameters, und erstellen oder aktualisieren Sie den Wert "Aktualisierungen identischer Dateien unterdrücken" auf 0 (Standard ist 1), um das Replizieren von identischen Updates zu erzwingen.

[Kafuhn 10]

Hallo,

 

zu deinem fehler 13508 im eventlog lies mal hier EventID.Net

 

zum fehler 13567 hier Microsoft Corporation oder hier EventID.Net

 

 

 

hoffentlich hilft das.

 

MfG

 

Frank

[robotroonie 10]

Vor allem das mit den BurFlags schien mir erfolgversprechend > also: Dienst auf DC defekt angehalten; Reg editiert (D2); auf anderem DC (PDC-Master) reg editiert (D4); Neustart Dienst; Start Dienst auf DC defekt; Ergebnis: alles beim alten (burflags jeweils wieder auf 0). Fehler noch da; dcdiag bringt Fehler.

Zeit ist synchron.

Firewall kann ich nicht ganz ausschließen. Am Standort des neuen DC (2k3) befinden sich nur noch 2 2k-Server; die anderen Standorte haben 2k3. Bei diesen gab es keine Probleme. Vielleicht liegt es daran, dass bei dem Problemkind die Replikation mit 2k klappen muss. Firewall ist über GRL aktiviert; würde ich nur ungern editieren.

Zurücksetzen des Computerkontos ohne Erfolg.

[Volvotrucker 10]

Hab ich das jetzt richtig verstanden? 2 bestehende 2k DCs und der Neue ist 2K3?

Wurde denn adprep vor der Inst des 2k3 durchgeführt?

[robotroonie 10]

Natürlich. Sonst geht das ja nicht. Adprep/forestprep/domainprep/Erweitern des AD-Schemas erfolgte, als der erste 2k3-DC (Standort 3) in die Dom aufgenommen wurde.

 

dcpromo (Herabstufen) geht nicht. Fehler: AD konnte die verbleibenden Daten in der Verzeichnispartition nicht übertragen. Beim 1. Versuch zum DC1 / beim 2. Versuch zum DC2 am gleichen Standort. Fehler: Der RPC-Server ist nicht verfügbar.

[amichel 10]

Hi,

was den frs Eintrag betrifft:

 

Recovering missing FRS objects and FRS attributes in Active Directory

 

Allgemein schaut es mir da bei Dir auch ein bißchen nach DNS Problemen aus.

Was ich machen würde auf dem "bösen" DC:

dcpromo /forceremoval Domain controllers do not demote gracefully when you use the Active Directory Installation Wizard to force demotion in Windows Server 2003 and in Windows 2000 Server

Danach im Rest der Umgebumg Metadata Cleanup How to remove data in Active Directory after an unsuccessful domain controller demotion

für den betroffenen DC machen.

Danach auf diesem Server der jetzt ja nicht DC ist:

 

1. ) DNS installieren

2.) In den DNS settings einstellen, daß er sich selber als ersten und einen anderen als zweiten abfrägt.

3. ) In der Konfiguration des DNS Servers einen Forwarder eintragen, der auf die anderen DC's = DNS server (Wenn Du AD Integrated hast) zeigt.

4.) DCpromo neu ausführen.

 

5.) Nach dem Neustart wart mal ein bißchen bis im FRS eventlog event 13516 auftaucht

6.) Den DC zum GC machen (repadmin /options <dc> +is_gc

7.)Freuen daß es fertig ist

 

gruß

amichel

[robotroonie 10]

Richtig Hilfe bietet der KB-Article leider nicht: soll ja auch nur für Datacenter und Enterprise gelten. Auf jeden Fall stimmt die Struktur (Adsiedit) nicht ganz.

Habe da trotzdem Abweichungen festgestellt: Attribute ServerReference ist auf dem betroffenen DC nicht gesetzt - manuell eingetragen; außerdem ist der Eintrag frsmemberreferenceBL nicht gesetzt > lässt sich auch nicht setzen, da System die Berechtigungen hat ("Das Attribut konnte nicht geändert werden, da es dem System gehört")

 

Das Attribut frsmemberreference, durch dessen Setzen das Attribut frsmemberreferenceBL automatisch erzeugt werden soll, ist auf keinem DC vorhanden.

[robotroonie 10]

Habs nun aufgegeben, den ev. nur kleinen Fehler zu suchen. DC nach MS-Anleitung entfernt. DNS-Fkt bleibt ja erhalten. Entsprechend angepasst. dcpromo scheitert jedoch mit "Der angegebene Benutzer ist bereits vorhanden". Kontrolle zeigt: Objekt ist noch in AD Nutzer+Computer\DCs enthalten. Lässt sich hier auch nicht löschen ("das dsa-objekt konnte nicht gelöscht werden"). Im KB stand ja nur, dass es in Sites+Services gelöscht werden soll. Da ging das auch ohne Fehler. Mt replmon Replikation erzwungen - trotzdem gehts nicht. Und nun?

Versuche ich mit ntdsutil auf den entfernten Server zu verbinden, erscheint nicht der DSA-Fehler, der kommen sollte, sondern (DsBindW-Fehler 0x6d9 [in der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.]) > was auf eine fehlerhafte RPC-Endpunktzuordnung hinweisen soll. Mit list servers in site wird der DC nicht mehr angezeigt. Also doch Repliaktion abwarten? Standort 3 ist über Slow Link verbunden.

[robotroonie 10]

Sieht schlecht aus:

nachdem nach Stunden immer noch der DC-Eintrag in AD Nutzer+Computer enthalten war, habe ich diesen auf einem anderen DC (Standort 2) gelöscht. Hier ging das.

Danach hat dcpromo funktioniert. ABER: Netlogon und Sysvol fehlen wieder; dcdiag-Fehler wie gehabt; Ereignis-ID 13508

 

Zum GC habe ich ihn noch nicht gemacht.

[robotroonie 10]

repadmin /showreps zeigt zumindest keinen Fehler; es werden aber nur Inbound Neighbours vom gleichen Standort angezeigt (vor De/promoten hatte ich manuelle Replikationsverknüfungen erstellt; nach dem dcpromo noch nicht wieder).

Nun: GC aktiviert; manuelle Replikationsverknüpfungen erstellt. Ausgabe bleibt wie oben.

[amichel 10]

Also 13508 ist ein FRS fehler, da wirst Du mit repadmin nix finden da dies nur für AD replikation infos gibt.

 

Lösch doch die Manuellen verbindungen, der KCC weiß schon von wem er replikationslinks erstellt. Mit dem 13508 wart mal ab das kann dauern am anfang.

 

 

 

amichel

 

EDIT:

Am besten wäre es Du würdest es genauso machen wie ich Dir geraten habe - dann wirds auch gehen.

Und wenn ein Artikel für W2K3 Enterprise gilt, dann auch für Standard - soferne es sich um Sysvol handelt.