Domänenumzug/Neuinst. ohne dcpromo

[Whistleblower 45]

Evtl. das hier?

 

"Ipconfig /All" Command Shows the Node Type as Unknown

 

Hm, danke, guter Hinweis! Der Wert stand auf "2", aber nur 0 oder 1 möglich... Muss ich nach einem Reboot heute abend mal checken, ob das der Fehler war!

–

Wär ja auch zu schön gewesen, wenn alles glattlaufen würde... :(

Aktuell ist keine Anmeldung mehr an der Domäne möglich, Ereigniskennung 1006, 1030 und 1054:

Es konnte keine Bindung mit der Domäne tec.wtg hergestellt werden. (Lokaler Fehler). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

Die Abfrage der Liste der Gruppenrichtlinienobjekte ist fehlgeschlagen. Überprüfen Sie das Ereignisprotokoll auf frühere Fehlermeldungen des Richtlinienmoduls, die die Ursache für dieses Problem beschreiben.

Der Domänencontrollername für das Computernetzwerk konnte nicht ermittelt werden. (Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

Desweiteren hat sich der DC wohl selbst repliziert (oder ist noch dabei)...

Ereignis 13561:

Dieser Computer wird vom Dateireplikationsdienst aus dem Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" gelöscht, um den Fehlerstatus zu beheben. 
Fehlerstatus = FrsErrorSuccess 
Beim nächsten Poll, der in 5 Minuten stattfindet, wird der Computer dem Replikatsatz wieder hinzugefügt. Durch das Hinzufügen wird eine vollständige Struktursynchronisierung ausgelöst.

 

Abwarten oder lieber gleich Sicherung von gestern wiederherstellen? :confused:

 

UPDATE:

Problem gelöst, DC läuft soweit wieder.

Ebenfalls gelöst: Knotentyp ist jetzt hybrid (nach Reboot)

[Whistleblower 45]

Das Replizierungsproblem lag übrigens an einem Eintrag aus alten Server2000-Zeiten in der Registry:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters
Enable Journal Wrap Automatic Restore = 1

Wird ja bereits seit 2000 SP3 nicht mehr von Microsoft empfohlen... Beheben von Journalumbruch-Fehlern auf Sysvol- und DFS-Replikatsätzen

Soviel zu dem Alter dieses DCs... :D

[LukasB 10]

dcdiag und netdiag sind nun auch der Meinung das alles perfekt ist?

[rep 10]

Also wie oben zu lesen ist in den Fehlermeldungen macht es nach wie vor den Anschein das er Namensauflösungen nicht so korrekt hinbekommt. Das ist alles ein bisschen mergwürdig.

 

Ansonsten auch noch mal nach den Fehlermeldungen Googlen. Aber ich denke das zumindest das mir den Sicherheitsrichtlinien daran liegen kann. Und was hat er nach den 5 Minuten die oben angekündigt wurden nun gesagt?

 

Gruß

[Whistleblower 45]

Also wie oben zu lesen ist in den Fehlermeldungen macht es nach wie vor den Anschein das er Namensauflösungen nicht so korrekt hinbekommt. Das ist alles ein bisschen mergwürdig.

 

Ansonsten auch noch mal nach den Fehlermeldungen Googlen. Aber ich denke das zumindest das mir den Sicherheitsrichtlinien daran liegen kann. Und was hat er nach den 5 Minuten die oben angekündigt wurden nun gesagt?

Gruß

 

Das war scheinbar ein ganz anderes Problem... Die Journaleinträge waren wohl nicht mehr ganz sauber, dadurch hat er (aufgrund dieses veralteten Registry-Eintrags) eine Replizierung versucht, was wohl etas nach hinten losging. Danach war erstmal keine Anmeldung mehr an der Domäne möglich, weil er durch die noch andauernde Replizierung keinen gültigen DC mehr hatte. Die Fehlermeldungen kamen regelmäßig im 5 Minutentakt, bis ich durch Ändern des Keys und anschließenden Reboot die Replizierung abgebrochen habe. Danach ist ist der DC wieder sauber hochgefahren, und hat auch später erfolgreich seine Replikation gestartet und abgeschlossen.

[Whistleblower 45]

dcdiag und netdiag sind nun auch der Meinung das alles perfekt ist?

Netdiag sieht soweit gut aus, nur ein Warning:

NetBT name test. . . . . . : Passed
           NetBT_Tcpip_{D6E02AFC-30ED-42DA-BB29-94E20FD306EC}
           FS02           <00>  UNIQUE      REGISTERED
           TEC            <00>  GROUP       REGISTERED
           TEC            <1C>  GROUP       REGISTERED
           FS02           <20>  UNIQUE      REGISTERED
           TEC            <1B>  UNIQUE      REGISTERED
           TEC            <1E>  GROUP       REGISTERED
           TEC            <1D>  UNIQUE      REGISTERED
           ..__MSBROWSE__.<01>  GROUP       REGISTERED
       [WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenger Service', <20> 'WINS' names is missing.

 

dcdiag schmeisst immer noch Fehler für die Provider-DNS aus:

TEST: Forwarders/Root hints (Forw)
Recursion is enabled
Forwarders Information: 
194.25.2.129 (<name unavailable>) [invalid (unreachable)] 
212.59.54.180 (<name unavailable>) [invalid] 
81.14.243.9 (<name unavailable>) [invalid] 
81.14.244.9 (<name unavailable>) [invalid] 

Okay, der Telekom-DNS ist noch ein alter Eintrag, den sollte ich nochmal rauslöschen. Die anderen sind aber erreichbar, und ich bekomme auch deren Namen.

 

        Summary of test results for DNS servers used by the above domain controllers:

           DNS server: 194.25.2.129 (<name unavailable>)
              1 test failure on this DNS server
              This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 194.25.2.129
              [Error details: 1460 (Type: Win32 - Description: Dieser Vorgang wurde wegen Zeitüberschreitung zurückgegeben.)]

           DNS server: 212.59.54.180 (<name unavailable>)
              1 test failure on this DNS server
              This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 212.59.54.180
              [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

           DNS server: 81.14.243.9 (<name unavailable>)
              1 test failure on this DNS server
              This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 81.14.243.9
              [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

           DNS server: 81.14.244.9 (<name unavailable>)
              1 test failure on this DNS server
              This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 81.14.244.9
              [Error details: 9003 (Type: Win32 - Description: Der DNS-Name ist nicht vorhanden.)]

           DNS server: 10.10.1.3 (domcon.firma.lokal.)
              All tests passed on this DNS server
              This is a valid DNS server. 
              Name resolution is funtional. _ldap._tcp SRV record for the forest root domain is registered 
              Delegation to the domain _msdcs.firma.lokal. is operational

[rep 10]

Danach war erstmal keine Anmeldung mehr an der Domäne möglich, weil er durch die noch andauernde Replizierung keinen gültigen DC mehr hatte.

 

Das er keine Anmeldungen mehr haben wollte ist klar, aber warum wurde dann der 2. nicht mehr gefragt? Dazu sind doch mehrere DCs da. Und wenn es nur einen gibt, dann sollte eine replizierung doch gar nicht da sein, oder habe ich hier gerade einen Gedankenfehler?

 

 

Die Fehlermeldungen kamen regelmäßig im 5 Minutentakt, bis ich durch Ändern des Keys und anschließenden Reboot die Replizierung abgebrochen habe. Danach ist ist der DC wieder sauber hochgefahren, und hat auch später erfolgreich seine Replikation gestartet und abgeschlossen.

 

Key? Du meinst den Regeintrag? Also ist nun wieder alles im Lot, und dein Ursprüngliches Problem das die Domain und das AD strubelig sind sind erledigt?

 

Dann kannst du nun ja mit dem Austausch der DCs anfangen, oder?

[Whistleblower 45]

Das er keine Anmeldungen mehr haben wollte ist klar, aber warum wurde dann der 2. nicht mehr gefragt? Dazu sind doch mehrere DCs da. Und wenn es nur einen gibt, dann sollte eine replizierung doch gar nicht da sein, oder habe ich hier gerade einen Gedankenfehler?

Es ist ja kein zweiter DC vorhanden... Jedenfalls noch nicht...

Wie er sich mit sich selbst replizieren wollte, habe ich auch nicht ganz verstanden, aber vielleicht hat ja schon jemand anderes diese Erfahrung mal gemacht.

 

Key? Du meinst den Regeintrag? Also ist nun wieder alles im Lot, und dein Ursprüngliches Problem das die Domain und das AD strubelig sind sind erledigt?

Dann kannst du nun ja mit dem Austausch der DCs anfangen, oder?

Wie gesagt, noch das kleine Problem mit den DNS des Providers, ansonsten siehts gut aus.

[rep 10]

Wie gesagt, noch das kleine Problem mit den DNS des Providers, ansonsten siehts gut aus.

 

Ich bin heute glaub ich falsch aufgestanden, was genau meinst du, den ROOT Server? Das Problem war doch erledigt. Das mit der Repliktaion kann vielleicht jemand anderes beantworten, oder ist dcpromo vielleicht schon "ein bisschen" gelaufen.

 

Wenn dcdiag, netdiag und dnslint keine Probleme haben, dann würde ich einfach mal loslegen... also versuchen mit dcpromo einen DC neu zu erstellen.

[Whistleblower 45]

Nein, die Root-Server laufen sauber. Es handelt sich nur noch um die Weiterleitungen auf die DNS-Server unseres Providers, die er (aus welchem Grund auch immer) anmeckert. Ich vermute mal, dass es trivial ist, aber den Grund würde ich trotzdem gerne wissen...:suspect:

dcpromo lief bisher noch nicht (das letzte Mal anno 2005, das war vor meiner Zeit). Ich bereite den neuen DC und den zweiten DC für den anderen Standort aber auch schon soweit vor .

[rep 10]

das sind aber viele Weiterleitungen, kann das sein? Wo genau hast du die eingetragen, vielleicht einen Screenshot der Maske?

 

Die Meldung die da kommt sagt aber nur das die Zone "localhost" und auch die Reverse Zone von 127.0.0.0/8 nicht beantwortet wird, was laut RFC normal jeder DNS beantworten soll. Daher geht der Test davon aus, es sei kein korrekter DNS Server.

 

Zur Sicherheit würde ich aber noch mal prüfen wie diese Weitergeleitet sind, oder falls vorhanden, deinen Router nehmen. Die haben ja auch meistens einen DNS Server, und leiten diesen dann wiederum zum Server, was den Vorteil hat, das die Server vom Provider ja schon mal anders sein können, die bekomm man (Vorrausgesetzt ein Dial-IN Account oder ähnlich) dann ja dynamisch.

 

 

Aber Funktioniell, wenn deine DNS Server beim Provider mittels nslookup korrekt funtkionieren, und die Weiterleitung korrekt eingetragen ist, macht ads kein Problem:

 

nslookup DNS_NAME EXPLIZITER_DNS_SERVER

 

Wenn heir drauf geantwortet wird, dann sind das acuh Server die man für eine Weiterleitung nutzen kann

[Whistleblower 45]

das sind aber viele Weiterleitungen, kann das sein? Wo genau hast du die eingetragen, vielleicht einen Screenshot der Maske?

Kann ich leider nicht einfügen, mangels Webspace...

Sind die drei zugeteilten DNS des Providers, stehen unter Weiterleitungen für "Alle anderen DNS-Domänen"

Zur Sicherheit würde ich aber noch mal prüfen wie diese Weitergeleitet sind, oder falls vorhanden, deinen Router nehmen. Die haben ja auch meistens einen DNS Server, und leiten diesen dann wiederum zum Server, was den Vorteil hat, das die Server vom Provider ja schon mal anders sein können, die bekomm man (Vorrausgesetzt ein Dial-IN Account oder ähnlich) dann ja dynamisch.

Entfällt leider, da der Router kein DNS machen soll.

Aber Funktioniell, wenn deine DNS Server beim Provider mittels nslookup korrekt funtkionieren, und die Weiterleitung korrekt eingetragen ist, macht ads kein Problem:

 

nslookup DNS_NAME EXPLIZITER_DNS_SERVER

 

Wenn heir drauf geantwortet wird, dann sind das acuh Server die man für eine Weiterleitung nutzen kann

 

Das funktioniert soweit ohne Probleme

[Whistleblower 45]

dcpromo hat soweit erstmal funktioniert... Befasse mich jetzt erstmal mit anderen Installationen, bevor ich dann später mal den Betriebsmaster und glob. Katalog umziehe

[rep 10]

Ok, dann ist aber das ursprüngliche Probleme behoben, oder? das freut und dann doch alle ;)

 

Die DNS Server scheinen dann aber korrekt eingestellt zu sein. Warum die dann angemeckert werden kann ich mir nur wie sonst erklärt vorstellen, nämlich das die keine Antworten für 127.0.01. haben.

 

Wobei das hier gerade klappte

 

C:\>nslookup -querytype=ptr 1.0.0.127.in-addr.arpa 194.25.2.129
Server:  dns03.btx.dtag.de
Address:  194.25.2.129

Nicht autorisierte Antwort:
1.0.0.127.in-addr.arpa  name = localhost

 

Wobei er eigentlich diese Anfgrage als Autorisiert geben können sollte. Ist dann aber ein zu vernachlässigender Fehler.

[Whistleblower 45]

Sorry, muss den Thread nochmal auf den aktuellsten Stand bringen... Irgendwas läuft immer noch unrund im ADS.

 

Ein zweiter DC ist jetzt zusätzlich im Betrieb (gleicher Standort), FSMO-Rollen wurden bisher noch nicht übertragen, läuft alles noch auf dem alten DC.

 

Habe jetzt mal wieder einen Blick ins Ereignisprotokoll geworfen und immer noch folgende Fehler auf dem "alten" DC:

 

Ereignistyp:	Fehler
Ereignisquelle:	CertSvc
Ereigniskategorie:	Keine
Ereigniskennung:	44
Datum:		12.12.2008
Zeit:		03:09:50
Benutzer:		Nicht zutreffend
Computer:	xxxx
Beschreibung:
Richtlinienmodul "Windows-Standard", Methode "Initialize", hat einen Fehler verursacht. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Zurückgegebener Statuscode: 0x8007054b (1355). Es konnte keine Verbindung mit dem Active Directory, das die Zertifizierungsstelle enthält, hergestellt werden.


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Diese Fehlermeldung trat allerdings nur einmal vor 5 Tagen auf. Vorgehendes Ereignis:

 

Ereignistyp:	Warnung
Ereignisquelle:	CertSvc
Ereigniskategorie:	Keine
Ereigniskennung:	94
Datum:		12.12.2008
Zeit:		03:09:50
Benutzer:		Nicht zutreffend
Computer:	xxxxxx
Beschreibung:
Die Zertifikatdienste xxxxxxxxxxxx können den Zertifikatspeicher unter CN=NTAuthCertificates,CN=Public Key Services,CN=Services im Konfigurationscontainer von Active Directory nicht öffnen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

 

Vorher wurde der Zertifikatsspeicher (automatisch) wiederhergestellt, und ich vermute, dass der Server zu dem Zeitpunkt (ca. 3:00 Uhr) rebootet hat.

Ein DNS-Problem gab es zu dem Zeitpunkt ebenfalls:

 

Ereignistyp:	Fehler
Ereignisquelle:	DNS
Ereigniskategorie:	Keine
Ereigniskennung:	4015
Datum:		12.12.2008
Zeit:		03:05:29
Benutzer:		Nicht zutreffend
Computer:	xxx
Beschreibung:
DNS-Server hat einen kritischen Fehler im Active Directory ermittelt. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert. Die erweitere Fehlerdebuginformation (die eventuell leer ist), ist "". Die Ereignisdaten enthalten den Fehlercode.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 51 00 00 00               Q...