-=MOMSY=- 10 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 Hallo Leute, Dies ist ein Aufrschrei an alle die mehr plan haben als alle die bereits an folgendem Problem saßen: Wir haben 2 Hauptdomänencontroller die in einem Standort stehen, 27 Aussenstellen die JE einen Domainenkontroller mit Globalem Katalog haben. Die Aussenstellen können NICHT untereinander, sondern nur mit dem Hauptstandort Kommunizieren! Die DCs in den Aussenstellen haben noch einen Exchange 2007 installiert und Maximal einen Fax Server von Ferrari (ein Server) nun ist folgendes noch zu wissen: Es ist eine Sub Domain mit Vertrauensstellung zur Hauptdomain zur Userauthentifizierung! Die Hauptdomain steht in Kommunikation mit den Standorten und der Hauptstelle von uns, die Replikas sollen aber eigentlich NUR von unsseren Aussenstellen mit unserem Hauptstandort laufen. --- Was passierte: Am Wochenende zum 16.01 wurde ein Umzug der Hauptdomäne vorgenommen, der IT Betreuer der Hauptdomain fuhr die Server hoch und merkte leider erst nach "5" Stunden, das der ROLLENHALTER ein Datum "7.3.2001" hatte!!!!! dann sprang er wieder auf das derzeitige Datum!!! KABOOOOM Das reichte wohl, das eine Replika alle Standorte nun Infizierte! einige Aussenstellen hatten sogar das falsche Datum an den DCs und PCs! --- Nun was ist die auswirkung: MASSIG System Kerberos Fehlermeldungen der Nr. 4 das die Verschlüsselungspasswörter nicht mehr stimmen würden und ntds KCC fehlemeldungen, das die Replikas des sysvols Probleme machen.... AD Repliziert nicht, Standorte und Dienste kann man nicht richtig Replizieren lassen (zt. Fehlermeldung beim manuellen anstoßen "Der Zielprinzipalname ist falsch") Sysvol inkonsistent --- Workaround der durchgeführt wurde, und von Microsoft Hotline auch als Okay befunden wurde: am Hauptstandort und Aussenstelle1 Kerberos lahmlegen, dan klist purge und netdom resetpwd klist purge nochmal, dann kerberos wieder anschmeissen und darauf hoffen das erstmal wieder alles klappt, regedit den ntds reg key unter parameters mit strict replika... auf "0" dann die Lingering objects raus mit verweis auf den fsmo role holder von unsserem hauptstandort! Dann wieder replikas anschmeissen etc. ---- Warum dann der Post: Dieser Workaround hilft nur einige stunden ( bei einem Server ging es sogar 2,5 Tage) dann rollen die Fehler wieder rein, die genau gleichen! ----- Ich bitte euch falls ihr noch Tipps habt die zu posten denn MS gibt sonst nicht viel her, mir nutzen auch kaum irgendwelche dcdiag ***** meine ich, denn das Problem liegt tiefer! Ich wäre über JEDEN Tipp extrem Dankbar denn Ich glaube, das selbst Microsoft probleme hat das wieder hinzubiegen.... PS: am dienstag machte ich beispielsweise die Maschine die 2,5 Tage hielt weil dort am WTS der noch da vor ort steht die user nicht reinkamen, das gieng dann wieder, und geht immer noch!! Also ein "arbeiten" ist möglich aber das ad bzw die Server funktionieren definitiv nicht so wie sie sollten weil dieser Zeitstempel von Oben praktisch alles zerdeppert hat!! Danke für das Durchlesen A Schönen Abend!! Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 Hi, erstmal zu dem Thread: -> http://www.mcseboard.de/rules.php#nr16 Es ist teilweise eine Zumutung die Sätze zu lesen, bitte beim nächsten Mal darauf achten. Auch braucht man nicht !!!!!! ein ! reicht. -> http://www.mcseboard.de/rules.php#nr10 Titel in denen die Wörter dringend, schnell etc. vorkommen sind auch unpassend! Die User sind es gewohnt schnell auf Fragen zu antworten und ehrlich gesagt ignoriere ich, wie einige andere, Threads mit den Titel dringend usw. Den Titel werde ich jetzt erst einmal anpassen und bitte beachte die Hinweise beim nächsten Mal. Auch wenn dein Problem wirklich verzwickt ist. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 Hi Momsy, wenn das Problem nicht behoben wurde, dann mach bei Deinem offenen MS Call Druck. Ich persönlich denke, daß das besser ist, als der Versuch, es hier im Forum zu lösen. Dafür erscheint das Problem schlichtweg "zu wichtig" und "zu komplex". Der Call ist dafür offen, daß Dein Problem gelöst wird. Das solltest Du ggf. auch mit Nachdruck bei MS anbringen, dann wird Dir sicherlich auch weitergeholfen werden. Dran bleiben! :) Viele Grüße olc Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 Hi, kann es sein, dass die BIOS-Batterie am PDCe kaputt ist. Dann stellt sich die Uhr bei einem Reboot des PDCe auf einen Ursprungswert zurück und der PDCe repliziert diese Uhrzeit raus und das AD korrigiert dann bei einer solch grossen Zeitdifferenz zur richtigen Zeit die falsche Zeit auch nicht mehr Verschieb doch mal die PDCe-Rolle auf einen anderen DC. cu blub Zitieren Link zu diesem Kommentar
-=MOMSY=- 10 Geschrieben 25. Januar 2010 Autor Melden Teilen Geschrieben 25. Januar 2010 das Problem des PDC ist nicht meins, diese maschinen werden von dem anderen IT Hause betreut das den Fehler verursachte! Mir geht es darum, das es wieder zur replikation unserer server kommt! und zwar zur Fehlerfreien. Danke für den MS Call tipp, das werde ich morgen definitiv tun! Ich erhoffe mir hier weitere Tipps denn die MS KB gibt nicht mehr viel her bei so einem komplexen Thema, ich denke auch ehrlich, das noch kein Admin so ein Spektakel erlebt hat!!?? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 das Problem des PDC ist nicht meins, diese maschinen werden von dem anderen IT Hause betreut das den Fehler verursachte! Mir geht es darum, das es wieder zur replikation unserer server kommt! und zwar zur Fehlerfreien. Na ja, das ist ja der Punkt, den blub meinte: Ggf. liegt es genau an diesem PDCe (übrigens interessanter Gedankengang, blub ;) ). Damit wäre es indirekt Dein Problem. Danke für den MS Call tipp, das werde ich morgen definitiv tun! Ich erhoffe mir hier weitere Tipps denn die MS KB gibt nicht mehr viel her bei so einem komplexen Thema, Dafür gibt es die Calls ja, da sollen Dir bestenfalls keine KB-Artikel vorgelesen, sondern Unterstützung gegeben werden. ;) ich denke auch ehrlich, das noch kein Admin so ein Spektakel erlebt hat!!?? Och, fast täglich würde ich sagen... :D Viele Grüße olc Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 Servus, 1. muss ich Necron zustimmen. Der Begriff "dringend" im Betreff ist hier nicht gern gesehen. Wenn es so dringend ist, rufst du entweder Microsoft oder einen Dienstleister an. 2. So lange seitens Microsoft keine Lösung präsentiert wurde, wende dich in erster Linie an den PSS. Aber eine Lösung kann auch sein, die dich nicht zufrieden stellt... 3. Die Zeit innerhalb einer Gesamtstruktur ist gerade in Bezug auf Kerberos elementar! Der DC der innerhalb einer Gesamtstruktur für die Zeit zuständig ist, ist der DC der die Rolle des PDC-Emulators innehat. Man kann den PDC-Emulator der Root-Domäne gegen eine externe Quelle (entweder aus dem Internet oder Hardware-Uhr) abgleichen lassen. Auf der Firewall müsste der Port 123 offen sein, wenn mit einer Quelle aus dem Inet abgeglichen werden soll. Der PDC-Emulator muss aber nicht seine Zeit mit einer "externen Quelle" abgleichen. Die tatsächliche Zeit ist nicht zwingend notwendig. Sie sollte nur innerhalb einer Gesamtstruktur synchron sein. Alle DCs holen sich ihre Zeit dann vom PDC-Emulator. Die Clients sowie Memberserver synchronisieren sich ihre Zeit mit ihrem Logon-Server, also dem DC bei dem sich der Client anmeldet/authentisiert. Wenn Du am w32time nichts gemacht hast, hast Du eine komplette Zeitsynchronisation. 4. Wie bereits erwähnt, wende dich weiterhin an den PSS und wenn dort nichts heraus kommt, können wir hier weiter unser Glück versuchen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. Januar 2010 Melden Teilen Geschrieben 25. Januar 2010 Warum dann der Post: Dieser Workaround hilft nur einige stunden ( bei einem Server ging es sogar 2,5 Tage) dann rollen die Fehler wieder rein, die genau gleichen! ----- Hatte ich so verstanden, dass du alle entstandenen ReplicaProbleme gefixed hattest und kurze Zeit später die Zeit aufs neue durcheinander gewürfelt wurde. Dann würde ich am PDCe beginnen nach der Ursache suchen. Wieviele externe Zeitquellen habt ihr denn? Wir haben 3 Zitieren Link zu diesem Kommentar
-=MOMSY=- 10 Geschrieben 26. Januar 2010 Autor Melden Teilen Geschrieben 26. Januar 2010 sagen wir so, ich hatte eine Aussenstelle am letzten Dienstag komplett wieder dran! Klar sysvol geht ne zeit bis das wieder kommt aber ad usw. ging + standorte dienste ging auch... 2,5 Tage später gleicher fehler! So in etwa auch bei den anderen Aussenstellen, mehr oder minder einige Stunden fehlerfrei, dan gings wieder mit kerberos nr.4 los und ich denke da liegt irgendwo der Hund begraben! Zitieren Link zu diesem Kommentar
seehas 11 Geschrieben 26. Januar 2010 Melden Teilen Geschrieben 26. Januar 2010 Windows Server 2003 Active Directory-Betriebshandbuch: Inhaltsverzeichnis Hat mir auch schon geholfen. Wenn Du hier nichts findest. Musst Du halt Bingen oder Googlen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.