dcdiag Fehler

[tSh-Floyd 10]

Hallo.

 

Ich habe gestern auf meinen neuen 2008er DC's dcdiag ausgeführt und mehrere Fehler erhalten. Unter anderem wurde der Test NCsecDesc nicht bestanden.

 

 

Starting test: NCSecDesc

 

Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

 

Replicating Directory Changes In Filtered Set

Zugriffsrechte fr den Namenskontext:

 

DC=ForestDnsZones,DC=mydomain,DC=de

Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

 

Replicating Directory Changes In Filtered Set

Zugriffsrechte fr den Namenskontext:

 

DC=DomainDnsZones,DC=mydomain,DC=de

 

Wenn ich das richtig interpretiere, fehlden den DC's Rechte auf die Container, oder? Ich habe mal nachgeschaut und die Gruppe Domänencontroller der Organisation hat Leserechte auf die container.

 

 

Was für rechte werden den da benötigt?

 

Gruß

Philipp

[morro 10]

Hi,

 

kann es sei das du evtl ADPREP /RODCPREP nicht ausgeführt hast?

 

LG

 

PS: Falls kein Read Only Domain Controller zum Einsatz kommen soll, kannste den Fehler erstmal ignorieren

[Daim 12]

Servus,

 

kann es sei das du evtl ADPREP /RODCPREP nicht ausgeführt hast?

 

genau das ist es.

 

LDAP://Yusufs.Directory.Blog/ - DCDIAG: NCSecDesc Fehler

[tSh-Floyd 10]

Stimmt, das ist nicht ausgeführt.

 

Ich hab aber scheinbar noch ein Problem mit der Replikation vom Sysvol. Der Test mir frsdiag schlägt fehl mit der Meldung:

Checking Overall Disk Space and SYSVOL structure (note: integrity is not checked)...

ERROR: Junction Point missing on "d:\sysvol\sysvol"

ERROR: Junction Point missing on "d:\sysvol\staging areas"

 

Das ist aber nur auf den neuen DC's, die bestehen den Test.

[morro 10]

Schon mal den ereignis gegoogelt???

 

Evtl. hilftdas von Yusuf weiter: LDAP://Yusufs.Directory.Blog/ - Dateireplikationsfehler mit der ID 13568

[Stephan Betken 43]

Das ist aber nur auf den neuen DC's, die bestehen den Test.

Bestehen die neuen DCs den Test oder tritt der Fehler nur bei den neuen DCs auf. Solltest dich schon entscheiden. ;) Ist vielleicht auch nur missverständlich ausgedrückt.

[morro 10]

oder: Re: frssysvol: Fehler bei Test mit dcdiag

[tSh-Floyd 10]

Hui, ihr wart ja fleißig ;)

 

Es sollte natürlich heißen meine alten 2003er dc's bestehen den Test.

 

Merkwürdigerweise hab ich auf den 2008er DC's das Eventlog für den Dateireplikationsdienst gar nicht, ist das normal?

 

Und ich hab au fden alten DC's die Events 13508 und 13509.

 

Sieht so aus als hätte ich doch größere Probleme als gedacht :/

 

EDITH: Sorry, habe mich noch nicht an das neue Ereignis Log gewöhnt unter 2008. klar sind die Eventlogs da....

 

Einmal 13512:

Der Dateireplikationsdienst hat einen aktivierten Datenträgerschreibungs-Cache in dem Laufwerk mit dem Verzeichnis "c:\windows\ntfrs\jet" auf dem Computer "DE-DC-1" ermittelt. Der Dateireplikationsdienst kann eventuell nicht wiederhergestellt werden, wenn die Stromzufuhr des Laufwerks unterbrochen wird und wichtige Aktualisierungen verloren gehen.

 

Dann noch 13508:

 

Der Dateireplikationsdienst kann die Replikation von SRVDOMAIN2 nach DE-DC-1 für d:\sysvol\domain mit DNS-Namen SRVDOMAIN2.geutebrueck.de nicht aktivieren. Es wird ein neuer Versuch gestartet.

Mögliche Ursachen für diese Warnung sind:

 

[1] Der DNS-Name SRVDOMAIN2.geutebrueck.de von diesem Computer konnte nicht ausgewertet werden.

[2] Der Dateireplikationsdienst wird auf SRVDOMAIN2.geutebrueck.de nicht ausgeführt.

[3] Die Topologieinformationen in den Active Directory-Domänendiensten dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert.

 

Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde.

 

und 13509:

Der Dateireplikationsdienst hat die Replikation von SRVDOMAIN2 nach DE-DC-1 für d:\sysvol\domain nach wiederholten Versuchen aktiviert.

 

In Yusuf's beitrag steht ja folgendes:

 

Es sollte mit ADSIEdit sichergestellt werden, dass unterhalb aller DC-Objekte das Objekt NTFRS Subscriptions existiert.

Falls nicht, gilt es diese manuell zu erstellen. Dieser Schritt ist insbesondere bei den EventIDs 13507 und 13508 zu prüfen.

 

Entweder bin ich an der Falschen Stelle im adsiedit oder ich hab nirgends einen solchen eintrag....

bearbeitet 23. September 2009 von tSh|Floyd
Server 2008 und Eventlogs....

[morro 10]

Und ich hab au fden alten DC's die Events 13508 und 13509.

 

.

 

arbeite den artikel mal durch LDAP://Yusufs.Directory.Blog/ - Dateireplikationsfehler mit der ID 13568

[tSh-Floyd 10]

da bin ich ja grade dabei, nur steh ich grad an der Stelle, wie oben geschrieben:

 

In Yusuf's beitrag steht ja folgendes:

 

Es sollte mit ADSIEdit sichergestellt werden, dass unterhalb aller DC-Objekte das Objekt NTFRS Subscriptions existiert.

Falls nicht, gilt es diese manuell zu erstellen. Dieser Schritt ist insbesondere bei den EventIDs 13507 und 13508 zu prüfen.

 

Entweder bin ich an der Falschen Stelle im adsiedit oder ich hab nirgends einen solchen eintrag....

 

Ich habe adsiedit.msc geöffnet jedoch sehe ich nirgends ein Objekt NTFRS Subscriptions unterhalb der DC Objekte :/

[morro 10]

Dann erstelle diesen von Hand!

[Daim 12]

Ich habe adsiedit.msc geöffnet jedoch sehe ich nirgends ein Objekt NTFRS Subscriptions unterhalb der DC Objekte :/

 

Du wirst an der falschen Stelle schauen.

Öffne ADSIEdit, verbinde dich mit der Domänenpartition und navigiere zu dem Pfad: <Domäne>\OU=Domain Controllers\<DeinDC>\CN=NTFRS Subscriptions

 

Du siehst das aber auch in der MMC "AD-Benutzer und -Computer". Öffne dsa.msc und aktiviere unter Ansicht die Option "Benutzer, Kontakte, Gruppen und Computer als Container". Danach navigierst du in der MMC dsa.msc zu OU=Domain Controllers - <DeinDC> und unterhalb findest du dann den Container "NTFRS Subscriptions".

[tSh-Floyd 10]

Hm, Mehr oder weniger:

 

http://www.pictureupload.de/originals/pictures/230909145535_nix_ntfrs.jpg

 

Ich hab sie aber jetzt im adsi edit gefunden, muss da etwas besonderes eingetragen sein, oder kann ich davon ausgehen, dass das was da eingetragen ist, korrekt ist oder?

[morro 10]

Können wir nicht sehen, da du die containieransicht nicht aktiviert hast. zumindest sieht es so auf demm screenshot so aus

[Daim 12]

Hm, Mehr oder weniger:

 

http://www.pictureupload.de/originals/pictures/230909145535_nix_ntfrs.jpg

 

Das ist in der Tat merkwürdig. Aber installiere dir doch das AdminPak auf deiner Admin-Workstation (oder auf einem anderen Client) von einem Windows Server 2003 (Memberserver oder DC) aus dem Verzeichnis "%windir%\system32\Adminpak.msi" und kontrolliere ob du von dort in der MMC dsa.msc den Container sehen kannst.

 

Aber zumindest werden diese ja im ADSIEdit angezeigt und somit existiert ja auch der Container.

 

muss da etwas besonderes eingetragen sein, oder kann ich davon ausgehen, dass das was da eingetragen ist, korrekt ist oder?

 

Man kann davon ausgehen, dass wenn der Container existiert das soweit alles in Ordnung ist.