PowerShellAdmin 169 Geschrieben 7. Mai 2012 Melden Teilen Geschrieben 7. Mai 2012 Hallo, ich habe derzeit einen größeren Test einer Migration(hat nichts mit dem Problem zu tun). Daher habe ich eine Sicherung des DC - Rolleninhaber (alte Sekundäre DCs habe ich nicht zurückgesichert)- und weitere VMs in ein offline Netz geclont. Hierbei hatte ich folgendes Verhalten - Ich kann keine Windowsuser oder PCs zu Domäne hinzufügen, also prinzipiell ein RID Problem dachte ich Rollen per Query überprüft -> alle Rollen laufen In der Testumgebung habe ich aus spaß den alten W2k3 DC entfernt und aus dem DNS bereinigt - Ergebnis Domäne kaputt. Wie kann dass denn sein, mir macht es den Eindruck dass die Probleme aus dem DNS kommen und da verkorkste Einträge drinne sind. Grüße Admin IN DC Diag hatte ich folgenden Fehler: [color="Red"][b]Starting test: NCSecDesc Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=ForestDnsZones,DC=standort,DC=domain,DC=biz Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine Replicating Directory Changes In Filtered Set Zugriffsrechte fr den Namenskontext: DC=DomainDnsZones,DC=standort,DC=domain,DC=biz ......................... PSRV18 hat den Test NCSecDesc nicht bestanden.[/b][/color] Habe nun Adprep /rodcprep ausgeführt und der Fehler ist verschwundern. Ändert natürlich nichts am vorhandenen Problem. Netdom query fsmo Schemamaster PSRV18.standort.domain.biz Dom„nennamen-Master PSRV18.standort.domains.biz PDC PSRV18.standort.domain.biz RID-Pool-Manager PSRV18.standort.domain.biz Infrastrukturmaster PSRV18.standort.domain.biz Der Befehl wurde ausgefhrt. Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 7. Mai 2012 Melden Teilen Geschrieben 7. Mai 2012 Hi, also ich hab auch gerade wieder eine Testumgebung erstellt. Für alle Sicherheitsfreunde, natürlich sind alle PWs geändert und es kann zu keinem Mißbrauch kommen. Ich weiß ja nicht genau wie groß/komplex dein Forest ist, aber ich hab meine Testumgebung wieder mit dem vmware vcenter converter erstellt. Das funktioniert tadellos. Hier http://www.mcseboard.de/active-directory-forum-79/ad-testumgebung-clonen-166411.html hatten wir darüber schonmal diskutiert. Für dein Problem bräuchten die Fachleute hier wohl noch ne Fehlermeldung, dcdiag oder dergleichen. UPDATE: Ah da ist ja nun eine Fehlermeldung ... Die Meldung zu NCSecDesc ist nicht schlimm, das kommt nur wenn man keinen Read Only DC in der Domäne hat, da gibts nen Beitrag zu von Yusuf Dikmenoglu Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. Mai 2012 Autor Melden Teilen Geschrieben 7. Mai 2012 Hallo, habe es nacheditiert und die Fehler bzw Infos angefügt. DC Diag sagt derzeit nichts verdächtiges. Der PSRV18 (DC ) ist virtualisiert, daher kann ich das recht einfach abbilden und habe die Möglichkeit dass in einem gekapselten Netz zu testen - Was ich derzeit ja für eine Datenbankmigration benötige. Auch kann ich derzeit in der produktiven Umgebung zwischen den 3 DC erfolgreich syncronisieren oder Benutzer anlegen. Das System läuft generell - sobald aber der alte physikalische DC ausgeschaltet oder DNS aus ist komtm es bedingt zu Störungen. Daher lag mein Verdacht ja auch auf dem DNS Server - Namensauflösung alle Ping funktioniert natürlich. Aber hier sind ja noch wesentlich mehr Einträge vorhanden. Grüße Admin Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 7. Mai 2012 Melden Teilen Geschrieben 7. Mai 2012 Also wenn auf dem verbleibenden DC wirklich alle Betriebsmaster laufen und keine Fehlermeldungen auftauchen ... puuuuh. Ich würde es wohl mal mit einer Clone des DC versuchen und nicht die Sicherung bemühen. Geht ja auch im Betrieb ohne Ausfall. Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. Mai 2012 Autor Melden Teilen Geschrieben 7. Mai 2012 Ich habe jetzt nochmal mit NSLookup weitere Einträge überprüft: Das ist auch ok -> PSRV01 = Altes System (wird abgerüstet), PSRV02b = physikalischer Server der bestehen bleibt. Server: psrv18.standort.domain.biz Address: 10.1.2.18 _ldap._tcp.dc._msdcs.standort.domain.biz SRV service location: priority = 0 weight = 100 port = 389 svr hostname = psrv02b.standort.domain.biz _ldap._tcp.dc._msdcs.standort.domain.biz SRV service location: priority = 0 weight = 100 port = 389 svr hostname = psrv01.standort.domain.biz _ldap._tcp.dc._msdcs.standort.domain.biz SRV service location: priority = 0 weight = 100 port = 389 svr hostname = psrv18.standort.domain.biz psrv02b.standort.domain.biz internet address = 10.1.2.2 psrv01.standort.domain.biz internet address = 10.1.2.1 psrv18.standort.domain.biz internet address = 10.1.2.18 Ebenfalls Showreply - scheint ja auch alles ok Repadmin: Befehl "/showrepl" wird fr den vollst„ndigen DC "PSRV02B.standort.domain.biz" ausgefhrtStandardname-des-ersten-Standorts\PSRV02BDSA-Optionen: IS_GC Standortoptionen: (none)DSA-Objekt-GUID: 05863967-dbbc-4784-a2f9-58071cad891eDSA-Aufrufkennung: 52ef8774-92da-45ae-9f57-e07cbe7c66d8==== EINGEHENDE NACHBARN=====================================DC=standort,DC=domain,DC=biz Standardname-des-ersten-Standorts\PSRV01 ber RPC DSA-Objekt-GUID: 434d5d8e-321d-49f2-b910-f3fb5e4a3fdf Letzter Versuch am 2012-05-07 15:28:21 war erfolgreich. Standardname-des-ersten-Standorts\PSRV18 ber RPC DSA-Objekt-GUID: f1350694-ca68-475f-99ad-c5bab63e686f Letzter Versuch am 2012-05-07 15:28:31 war erfolgreich.CN=Configuration,DC=standort,DC=domain,DC=biz Standardname-des-ersten-Standorts\PSRV01 ber RPC DSA-Objekt-GUID: 434d5d8e-321d-49f2-b910-f3fb5e4a3fdf Letzter Versuch am 2012-05-07 14:56:05 war erfolgreich. Standardname-des-ersten-Standorts\PSRV18 ber RPC DSA-Objekt-GUID: f1350694-ca68-475f-99ad-c5bab63e686f Letzter Versuch am 2012-05-07 15:26:05 war erfolgreich.CN=Schema,CN=Configuration,DC=standort,DC=domain,DC=biz Standardname-des-ersten-Standorts\PSRV01 ber RPC DSA-Objekt-GUID: 434d5d8e-321d-49f2-b910-f3fb5e4a3fdf Letzter Versuch am 2012-05-07 14:56:05 war erfolgreich. Standardname-des-ersten-Standorts\PSRV18 ber RPC DSA-Objekt-GUID: f1350694-ca68-475f-99ad-c5bab63e686f Letzter Versuch am 2012-05-07 15:26:05 war erfolgreich.DC=DomainDnsZones,DC=standort,DC=domain,DC=biz Standardname-des-ersten-Standorts\PSRV01 ber RPC DSA-Objekt-GUID: 434d5d8e-321d-49f2-b910-f3fb5e4a3fdf Letzter Versuch am 2012-05-07 14:56:05 war erfolgreich. Standardname-des-ersten-Standorts\PSRV18 ber RPC DSA-Objekt-GUID: f1350694-ca68-475f-99ad-c5bab63e686f Letzter Versuch am 2012-05-07 15:26:05 war erfolgreich.DC=ForestDnsZones,DC=standort,DC=domain,DC=biz Standardname-des-ersten-Standorts\PSRV01 ber RPC DSA-Objekt-GUID: 434d5d8e-321d-49f2-b910-f3fb5e4a3fdf Letzter Versuch am 2012-05-07 14:56:05 war erfolgreich. Standardname-des-ersten-Standorts\PSRV18 ber RPC DSA-Objekt-GUID: f1350694-ca68-475f-99ad-c5bab63e686f Letzter Versuch am 2012-05-07 15:26:05 war erfolgreich.[/Code] Sollte ein Ipconfig /Registerdns nicht ausreichen sämtliche fehlerhaften Verweise im DNS zu korrigieren - falls vorhanden ? Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 7. Mai 2012 Melden Teilen Geschrieben 7. Mai 2012 Gibt es denn eine Fehlermeldung beim Anlegen von Usern oder Computern wie oben beschrieben? Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. Mai 2012 Autor Melden Teilen Geschrieben 7. Mai 2012 Wie anfangs beschrieben, gab es dass nur in der Testumgebung (Clone vom PSRV18) - hier waren die weiteren DC nicht vorhanden. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 7. Mai 2012 Melden Teilen Geschrieben 7. Mai 2012 Darum clont man keine DC's . Hatten die DC's zum Zeitpunkt des "clonens" alle exakt die gleiche Uhrzeit ? Siehe dazu u.a. Methoden zur Erkennung und Wiederherstellung nach einem USN-Rollback in Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 7. Mai 2012 Autor Melden Teilen Geschrieben 7. Mai 2012 Hi Zahni, du hast natürlich generell recht, da hast du mich wohl missverstanden / ich mich unklar ausgedrückt. Wie dem auch sei, hier noch mal kurz eine Erklärung: Produktiv Umgebung - auf den ersten Blick funktioniert hier alles (siehe meine Tests) DC1: PSRV01 : physikalisch DC2: PSRV02b : physikalisch DC3: PSRV18 : virtuell - Rolleninhaber Die produktive Umgebung scheint auch korrekt zu arbeiten - Syncen etc funktioniert - siehe erste Tests. Testumgebung - und hier kommen die Fehler (die Testumgebung in der die Fehler auftreten wurde ursprünglich für eine Umfangreiche Datenbankmigration erstellt) als bestmögliches Integrationssystem. Schritte zum Verständnis: Sicherung des PSRV18 wiederhergestellt - VM Sicherung. DC1,DC2 - nicht vorhanden - daher Zeitstempel egal Die Testumgebung hat keine Verbindung zum produktiven Domaincontroller - virtuelles Switch ohne Lanport - Zugriff ausschließlich per vSphere (hier habe ich peinlichst darauf geachtet dass kein Server ohne wiederholte Prüfung gestartet wurde) Und hier sind die Probleme aufgetreten - die erstmal auf ein Fehlen der RID Rolle hindeuten. Hier habe ich den DC PSRV01 aus dem AD entfernt und DNS bereinigt (wollte sehen was Worstcase geschieht)-> Neustart fehlerhaft - DNS Fehler. Grüße Admin PS: Mein Verdacht geht aber in eine ähnliche Richtung, dass der virtuelle DC den "Faden" verloren hat. Dagegen spricht aber die erfolgreiche Replikation - die sagt ja immerhin aus, dass erstmal alle DC erfolgreich miteinander arbeiten. In der produktiven Umgebung werden Änderungen auch sauber auf alle Server übernommen. Der PSRV01 soll nun entfernt werden - und vor dem depromoten muss ich die Ursache natürlich finden. Zitieren Link zu diesem Kommentar
Mag 11 Geschrieben 8. Mai 2012 Melden Teilen Geschrieben 8. Mai 2012 Also wenn du den Platz dafür hast, würde ich zum Testen alle 3 als virtuellen Clone einrichten. Das geht mit dem neuen vmware Converter sehr bequem und man kann auch ein abschließendes Syncen durchführen, zu einem Zeitpunkt, damit auch alle DCs zur gleichen Uhrzeit gecloned wurden. (Ich konnte bei meinem Test 4 DCs aus 2 Domänen erfolgreich duplizieren.) Ich hab mich mißverständlich ausgedrückt, ich wollte die Fehlermeldung erfragen, die beim Anlegen von Benutzer oder Computern auftauchen bei deinem psrv18 Clone. Grüße Mag Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 8. Mai 2012 Autor Melden Teilen Geschrieben 8. Mai 2012 (bearbeitet) Die Fehlermeldung mit ausschließlich dem Rolleninhaber lautet: "Active Directory Fehlermeldung: Der Verzeichnisdienst kann keinen relativen Bezeichner zuweisen!" Dies tritt auf, wenn ich z.B. AD Objekte erstellen möchte (wie Benutzer oder Computer hinzufügen will zu Domäne). Sah also prinzipiell wie ein RID Fehler aus - Server nicht verfügbar. Laut Info waren aber alle Rollen auf dem PSRV18. Edit: Habe in der Produktivumgebung sicherheitshalber alle Rollen auf einen anderen physikalischen Server tranferiert - erfolgreich. bearbeitet 8. Mai 2012 von PowerShellAdmin Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 8. Mai 2012 Autor Melden Teilen Geschrieben 8. Mai 2012 Nachtrag: Ich habe in der produktiven Umgebung alle Rollen auf den physikalischen DC PSRV02b transferiert. Diesen Server habe ich virtualisiert und im Anschluss zeigten erste Tests -alles ok. Den virtuellen DC werde ich entfernen und im Anschluss neu promoten... Der Fehler muss/ kann ja nur hier oder in den damit verknüpften DNS Einträgen liegen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.