Domain Controller und Verbindungen

[-=MOMSY=- 10]

Hallo Gemeinde,

 

habe mal eine Frage:

 

Haben einen Kunden der mit ca 30 Aussendienststellen ein Exchange Netz Betreibt.

 

Ich betreue das ganze...

 

Kurz zum einstieg kurze Topologie erklärung:

 

2x VM Server in der Hauptzentrale

darauf laufen je ein DC , ein Mailserver (Hauptmailer) , ein Spamproxy , ein Managementserver (sym EP)

 

Nun mein Problem:

 

einige Aussenstellen haben des öfteren das Problem, das sporadisch die Verbindung gekappt ist... das heisst nachts um 1-2 Uhr ist das Okay, da dort die Sicherung in der Hauptzentrale eh kurzzeitig alles Lahmlegt. ABER untypisch ist das dann an den Servern die diese Probleme haben gegen 6-8 Uhr die Fehler:

1566 , 1311 und 1865 im Eventlog beim Dateirep Dienst auftauchen!

 

--

In der Hauptzentrale hat der HauptDC übrigens auch diese Meldungen!

 

 

Das deutet darauf hin, das der DC Probleme hat mit der Zentrale zu kommunizieren! Ich denke, das er dann nämlich auch die ganze ******* Kommunikation abreisst, denn ich kann dan auch nicht mehr per RDP auf diese Maschine zugreifen! Der Kunde muss dan VOR ORT, die Kiste Kaltresetten...

 

Hat mir irgendjemand einen TIP?! Ich habe nun bei eventid.net alles mögliche durchgelesen ich kann mir fast nicht vorstellen, das der Fehler im Intersite Transport Link liegt, diese wurden ALLE nach Anleitung gleich eingerichtet für jede aussenstelle das Subnet und der Name der wiederrum mit der Hauptzentrale verknüpft ist!

 

--

 

LETZTER PUNKT:

Ich habe gerade im Intersite Link gesehen, das der Server "2" DCs zum Rep drin hat, das werde ich gleich noch anpassen ABER das beschriebene Problem mit der Verbindungsverliererei haben dennoch Sporadisch einige Maschinen! Wenn die Aussenstelle einen WTS Server hat komme ich auf den zu 99% noch drauf also haben die DCs beim Kunden irgendeine kleine Macke...

 

Ich würde mich sehr freuen, wenn mir jemand mal einen TIPP geben kann!

[Antonio.Caputo 10]

Hallo Momsy,

 

1) Du sagst der Server sei per RDP nicht erreichbar, wie sieht es mir RPC aus?

2) Welche Kiste muss der Kunde resetten?

 

Gruss

 

Antonio

[-=MOMSY=- 10]

Hi Antonio.Caputo,

 

zu 1. muss ich gestehen ich wüsste nicht wie ich den Server per RPC ansprechen könnte :( (wissens defizit)

 

zu 2. meinte ich SEINEN DC also Mailserver in seiner Aussenstelle, der in der Hauptzentrale muss nicht angefasst werden!

 

Die Dame hat genau das eben getan und schon konnte Sie wieder auf den WTS zugreifen und ich konnte nach dem Reboot auch wieder per RDP drauf

 

Danke schonmal für die Schnelle Hilfe

[NilsK 2.971]

Moin,

 

wie sind die Außenstellen an die Zentrale angebunden? Sind dort jeweils Server in Betrieb? Gibt es irgendwelche Beschränkungen auf den AD-Replikationsverbindungen?

 

Immer ein heißer Kandidat für sporadische Verbindungsprobleme:

faq-o-matic.net Gut gedacht, schlecht gemacht, hin & her: Scalable Networking Pack

 

Gruß, Nils

[Daim 12]

Du schreibst von RDP-Problemen. Also könnte es sich hier um ein prinzipielles Netzwerk-/Konnektivitäts-/Latenzproblem handeln.

 

Existieret denn für jeden physikalischen Standort auch ein Standortobjekt im AD oder wie sieht das Design in "Active Directory-Standorte und -Dienste" aus? Ist das VPN voll geroutet oder können die DCs der Aussenstellen "nur" über die Zentrale auf die anderen Standorte zugreifen? Wenn das so wäre, solltest du unter "IP" die Option "Alle Standortverknüpfungen überbrücken" das standardmäßig aktiviert ist, deaktivieren.

 

Denn die Fehlermeldungen mit der EventID 1311+1566+1865 werden vom Knowledge Consistency Checker (kurz KCC) verzeichnet. Der KCC läuft auf jedem Domänencontroller alle 15 Minuten und ist für die standortinterne (Intra-Forest) sowie standortübergreifende (Inter-Forest) Replikationstopologie zuständig. Für die standortübergreifende Replikationstopologie ist genauer der ISTG zuständig, der Bestandteil des KCC ist. Die Verbindungsobjekte erstellt der KCC dann automatisch,

wenn die Replikationstopologie errechnet wurde.

 

Die Fehlermeldungen bedeuten im einzelnen:

 

- ID 1311 bedeutet, dass der KCC nicht alle Standorte erreichen konnte.

- ID 1566 bedeutet, dass der DC sich nicht mit jedem DC in dem angegebenen Standort replizieren konnte.

- Die EventID 1865 ist lediglich eine weitere Information über das nicht erreichen aller Standorte. Hier wird angegeben, welcher Standort nicht erreichbar war von dem Standort aus, wo der KCC die Fehler protokolliert hat.

 

 

Diese Fehlermeldungen deuten in den meisten Fällen auf ein Konnektivitätsproblem hin.

Einer der Gründe könnte z.B. sein, dass Site-Links nicht eingerichtet wurden oder eben

die VPN-Verbindung "schwankt" bzw. ausgelastet ist.

[-=MOMSY=- 10]

Werde morgen spätestes nochmal ausführlich Posten... hab grad nen Defekten Server hier!

[-=MOMSY=- 10]

so, ich hatte seit der Thematik WEIT AUS mehr im petto als mich darum weiter zu kümmern...

 

aber JETZT weiß ich warum das auftritt und vielleicht kann mir wer helfen:

 

Der Auslöser ist das der IPSEC dienst nicht mehr lauft! sobald ich den durch glaub neustart des Kerberos wieder hoch bekomme kann ich mit dem Server wieder ans Netzwerk! Vorher kann der Server NICHTS kein pink wohin auch nicht mit IP und den Server kann man auch nicht von nem CLient ansprechen!!!!

 

Sobald IPSEC wieder lauft als Dienst geht alles wieder!!!

 

BITTE um hilfe!

[zahni 562]

Ist SP2 installiert ?

 

Ansnsten gibt es für IPSEC div. Hotfixes:

 

ipsec windows 2003 hotfix site:support.microsoft.com - Google-Suche

´

-Zahni

[-=MOMSY=- 10]

ist ein R2 64 bit ;) da ist SP2 mit bei danke!

[zahni 562]

Hm, also Windows Update sagt, Du brauchst keine weiteren Updates ?

 

-Zahni

[-=MOMSY=- 10]

die server sind full patched mit microsoft update, sonntags um 16 Uhr automatisiert!

es lauft ein Exchange server und ein Symantec Endpoint protection client mit smsee (mail security)

mehr software ist nicht installiert,

 

alles derzeitig aktuell!

[zahni 562]

Nun, dann die Varinate mit den Hotfixes. Welchen Du nehmen sollst ? K.A. Leider kann man das anhand der Fehlerberschreibung nicht sagen.

 

-Zahni

[bulgarian 10]

die server sind full patched mit microsoft update, sonntags um 16 Uhr automatisiert!

es lauft ein Exchange server und ein Symantec Endpoint protection client mit smsee (mail security)

mehr software ist nicht installiert,

 

alles derzeitig aktuell!

Hallo MOMSY,

welche Version SEP ist installiert?

Ist dieser richtig konfiguriert?

[-=MOMSY=- 10]

Hi Bulgarian,

 

das sep ist 11.0.6 und ich gehe schwer davon aus, das da alles richtig konfiguriert ist, oder gibt es was extrem spezielles auf was ich achten sollte?!

 

//EDIT

 

Ich teste das mal!

http://support.microsoft.com/kb/956189

bearbeitet 20. September 2010 von -=MOMSY=-

[Dunkelmann 96]

das sep ist 11.0.6 und ich gehe schwer davon aus, das da alles richtig konfiguriert ist, oder gibt es was extrem spezielles auf was ich achten sollte?

 

Das Ding bringt in der Standardkonfiguration eine eigene Desktop Firewall mit und läuft auf 64bit Systemen nicht wirklich stabil.

Einfach mal deinstallieren und den Server ein paar Tage ohne laufen lassen oder einen "Produkttest" z.Bsp. mit Forefron Client Security durchführen damit der Server nicht ganz ungeschützt dasteht.