Maniax88 10 Geschrieben 20. Januar 2011 Melden Teilen Geschrieben 20. Januar 2011 (bearbeitet) Hallo zusammen, wir haben gestern an einer Außenstelle den ersten Windows Server 2008 R2 als Domänencontroller installiert. Das Installieren der Active Directory-Domänendienste und das Ausführen von dcpromo hat soweit sauber funktioniert. Allerdings haben wir noch einige Fehler: 1.) das NETLOGON-Verzeichnis kann zwar über die Freigabe aufgerufen werden, aber es kann dort nichts verändert werden - es erscheint die Meldung: "Sie benötigen Berechtigung zur Durchführung des Vorgangs." Wenn man aber über C:\Windows\SYSVOL\sysvol\biberach.c-team.cc\scripts auf das Verzeichnis zugreift, kann man ohne weiteres Veränderungen vornehmen. Ist das so gewollt? Kenne das von 2K3 anders. 2.) In der Ereignisanzeige der Rolle Active Directory-Domänendienste taucht ständig folgender Fehler auf: Protokollname: Directory ServiceQuelle: Microsoft-Windows-ActiveDirectory_DomainService Datum: 20.01.2011 13:19:27 Ereignis-ID: 1645 Aufgabenkategorie:Verzeichnisdienst-RPC-Client Ebene: Fehler Schlüsselwörter:Klassisch Benutzer: ANONYMOUS-ANMELDUNG Computer: dc02.domäne Beschreibung: Der authentifizierte Remoteprozeduraufruf (RPC) an einen anderen Verzeichnisserver wurde von den Active Directory-Domänendiensten nicht ausgeführt, weil der gewünschte Dienstprinzipalname (SPN) für den Zielverzeichnisserver im Schlüsselverteilungscenter (KDC)-Domänencontroller, der zum SPN gehört, nicht registriert ist. Zielverzeichnisserver: af8b6090-ee2f-48aa-80e6-7343d6f6e815._msdcs.domäne SPN: E3514235-4B06-11D1-AB04-00C04FC2DCD2/af8b6090-ee2f-48aa-80e6-7343d6f6e815/domäne@domäne Benutzeraktion Stellen Sie sicher, dass die Namen des Verzeichnisservers und der Domäne richtig sind. Stellen Sie außerdem sicher, dass der SPN auf dem KDC-Domänencontroller registriert ist. Wenn der Zielverzeichnisserver vor kurzem heraufgestuft wurde, wird es notwendig sein, für die lokalen Verzeichnisserver-Computerkontodaten auf den KDC zu replizieren, bevor dieser Verzeichnisserver authentifiziert werden kann. Habe schon wie wild danach gegoogelt und auch bei eventid.net geschaut. Dort finde ich zwar Meldungen zu der o.g. ID, aber leider nicht die richtige. Bei der Domäne handelt es sich um eine Windows 2003 Domäne. Kann uns jemand bei den Problemen unterstützen? Viele Grüße Maniax bearbeitet 20. Januar 2011 von Maniax88 Zitieren Link zu diesem Kommentar
Maniax88 10 Geschrieben 20. Januar 2011 Autor Melden Teilen Geschrieben 20. Januar 2011 Ergänzung: Habe eben noch "dcdiag" ausgeführt und dabei auf folgende Fehler gestoßen :shock: Starting test: KccEventDer authentifizierte Remoteprozeduraufruf (RPC) an einen anderen Verzeichnisserver wurde von den Active Directory-Domanendiensten nicht ausgeführt, weil der gewünschte Dienstprinzipalname (SPN) für den Zielverzeichnisserver im Schlüsselverteilungscenter (KDC)-Domänencontroller, der zum SPN gehört, nicht registriert ist. ......................... DC02 hat den Test KccEvent nicht bestanden. Starting test: NetLogons[DC02] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs. Das für diesen Test verwendete Konto muss fr die Domäne dieses Computers ber Netwerkanmelderechte verfügen. ......................... DC02 hat den Test NetLogons nicht bestanden. Starting test: Replications [Replications Check,DC02] Bei einer kürzlich Replikation ist ein Fehler Von DC01 nach DC02 Namenskontext: CN=Schema,CN=Configuration,DC=biberach,DC=c-team,DC=cc Beim Replizieren ist ein Fehler aufgetreten (1396): Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig. Auftreten des Fehlers: 2011-01-20 13:34:26. Letzter erfolgreicher Vorgang: 2011-01-20 09:54:06. Seit dem letzten erfolgreichen Vorgang sind 13 Fehler aufgetreten. Kerberos-Fehler. Der SPN für den Server DC01 wurde von KDC nicht gefunden. Mögliche Gründe: (1) - Der SPN ist auf dem KDC (Üblicherweise DC02) nicht registriert. Vergewissern Sie sich, dass der SPN neben DC01 auf mindestens einem weiteren Server registriert ist, und dass die Replikation zwischen diesem Server und dem KDC funktioniert. Verwenden Sie hierzu das Tool "repadmin/syncall". (2) - Bei diesem Server handelt es sich möglicherweise um einen gelöschten Server (und um ein gelöschtes DSA-Objekt), der L”schvorgang wurde jedoch noch nicht im gesamten Unternehmen repliziert. Dieser Zustand wird nach Ablauf der allgemeinen Replikationsverzögerung (plus Wartezeit der KCC) automatisch korrigiert (voraussichtliche Dauer: weniger als ein Tag). (3) - Möglicherweise wurde der Server wieder verwendet, das entsprechende DSA-Objekt wurde jedoch nicht gelöscht, und ein älterer DNS-Eintrag für den Server ist vorhanden. Dies kann dazu führen, dass für die Leasedauer des DNS-Eintrags dieser Fehler auftritt (zumeist etwa zwei Wochen). Bereinigen Sie zum Beheben dieses Problems die Metadaten des DSAs mithilfe von ntdsutil. (4) - Auch ist möglich, dass der Server eine neue IP-Adresse erhalten hat, die alte IP-Adresse wieder verwendet wurde und die DNS nicht mit der neuen IP-Adresse aktualisiert wurden. Sollte das Problem bestehen bleiben, beenden Sie auf DC01 den Netzwerkanmeldungsdienst, starten Sie ihn neu, und löschen Sie den alten DNS-Datensatz. Dieser Fehler taucht insgesamt 4 mal auf... für alle DCs. Starting test: Services Der Dienst NTDS auf DC02 konnte nicht geöffnet werden. Fehler: 0x5 "Zugriff verweigert" ......................... DC02 hat den Test Services nicht bestanden. ... so langsam bekomm ich Angst... Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 20. Januar 2011 Melden Teilen Geschrieben 20. Januar 2011 Willkommen, ... so langsam bekomm ich Angst... Vor oder wegen was? Erscheint in den Ereignisanzeigen auf den DCS auch die Fehler-ID 13568? How to rebuild the SYSVOL tree and its content in a domain Zitieren Link zu diesem Kommentar
Maniax88 10 Geschrieben 24. Januar 2011 Autor Melden Teilen Geschrieben 24. Januar 2011 Sorry, dass ich erst so spät antworte! Vor oder wegen was? Das sieht für mich auf den ersten Blick nach vielen Fehlern aus - deswegen! :D Die Ereignis-ID 13568 erhalten wir nicht. Dafür erhalten wir aber immer wieder: Protokollname: File Replication ServiceQuelle: NtFrs Datum: 24.01.2011 03:04:15 Ereignis-ID: 13508 Aufgabenkategorie:Keine Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: DC02.domäne Beschreibung: Der Dateireplikationsdienst kann die Replikation von DC01 nach DC02 für c:\windows\sysvol\domain mit DNS-Namen dc01.domäne nicht aktivieren. Es wird ein neuer Versuch gestartet. Mögliche Ursachen für diese Warnung sind: [1] Der DNS-Name dc01.domäne von diesem Computer konnte nicht ausgewertet werden. [2] Der Dateireplikationsdienst wird auf bibdc01.biberach.c-team.cc nicht ausgeführt. [3] Die Topologieinformationen in den Active Directory-Domänendiensten dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert. Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde. Und anschließend: Protokollname: File Replication ServiceQuelle: NtFrs Datum: 24.01.2011 03:06:55 Ereignis-ID: 13509 Aufgabenkategorie:Keine Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: Nicht zutreffend Computer: DC02.biberach.c-team.cc Beschreibung: Der Dateireplikationsdienst hat die Replikation von DC01 nach DC02 für c:\windows\sysvol\domain nach wiederholten Versuchen aktiviert. ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.