spalato 10 Geschrieben 2. Oktober 2013 Melden Teilen Geschrieben 2. Oktober 2013 Hallo Zusammen, Ich habe einen DC in den USA der ersetzt werden muss. Nun habe ich einen neuen Server installiert, DCPROMO gemacht und es funktioniert auch das meiste. DNS / DHCP / AD ist installiert. Ich habe aber das Problem, dass ich keine neuen Objekte im AD erstellen kann. Es kommt die Fehlermeldung dass der "identifier" (RID Master) nicht gefunden werden kann. Ich kann den RID aber anpingen und er gibt mir eine Antwort. Konfiguration des Problemservers: 2008R2 Rollen: AD, DHCP, DNS, File Service, WSUS, IIS, DFS Der DNS des Problemservers ist er selbst und es gibt auch keine Problem DNS Anfragen aufzulösen. Statische IP aus gleichem Subnetz wie der "alte" Server wo alles gut funktioniert. Hier das ERgebniss des DCDIAG. Directory Server Diagnosis Performing initial setup: Trying to find home server... Home Server = *Problemserver* * Identified AD Forest. Done gathering initial info. Doing initial required tests Testing server: Office\*Problemserver* Starting test: Connectivity ......................... *Problemserver* passed test Connectivity Doing primary tests Testing server: Office\*Problemserver* Starting test: Advertising Warning: *Problemserver* is not advertising as a time server. ......................... *Problemserver* failed test Advertising Starting test: FrsEvent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... *Problemserver* failed test FrsEvent Starting test: DFSREvent ......................... *Problemserver* passed test DFSREvent Starting test: SysVolCheck ......................... *Problemserver* passed test SysVolCheck Starting test: KccEvent ......................... *Problemserver* passed test KccEvent Starting test: KnowsOfRoleHolders [*RID MASTER SERVER*] DsBindWithSpnEx() failed with error 1722, The RPC server is unavailable.. Warning: *RID MASTER SERVER* is the Schema Owner, but is not responding to DS RPC Bind. Warning: *RID MASTER SERVER* is the Domain Owner, but is not responding to DS RPC Bind. Warning: *RID MASTER SERVER* is the PDC Owner, but is not responding to DS RPC Bind. Warning: *RID MASTER SERVER* is the Rid Owner, but is not responding to DS RPC Bind. [*INFRASTRUKTUR MASTER SERVER*] DsBindWithSpnEx() failed with error 1722, The RPC server is unavailable.. Warning: *INFRASTRUKTUR MASTER SERVER* is the Infrastructure Update Owner, but is not responding to DS RPC Bind. ......................... *Problemserver* failed test KnowsOfRoleHolders Starting test: MachineAccount ......................... *Problemserver* passed test MachineAccount Starting test: NCSecDesc ......................... *Problemserver* passed test NCSecDesc Starting test: NetLogons ......................... *Problemserver* passed test NetLogons Starting test: ObjectsReplicated ......................... *Problemserver* passed test ObjectsReplicated Starting test: Replications ......................... *Problemserver* passed test Replications Starting test: RidManager ......................... *Problemserver* failed test RidManager Starting test: Services ......................... *Problemserver* passed test Services Starting test: SystemLog A warning event occurred. EventID: 0x00000018 Time Generated: 10/02/2013 04:39:03 Event String: Time Provider NtpClient: No valid response has been received from domain controller *RID MASTER SERVER*.DOMAIN.com after 8 attempts to contact it. This domain controller will be discarded as a time source and NtpClient will attempt to discover a new domain controller from which to synchronize. The error was: The peer is unreachable. ......................... *Problemserver* passed test SystemLog Starting test: VerifyReferences ......................... *Problemserver* passed test VerifyReferences Running partition tests on : DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Running partition tests on : ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Running partition tests on : Schema Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Running partition tests on : Configuration Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Running partition tests on : DOMAIN Starting test: CheckSDRefDom ......................... DOMAIN passed test CheckSDRefDom Starting test: CrossRefValidation ......................... DOMAIN passed test CrossRefValidation Running enterprise tests on : DOMAIN.com Starting test: LocatorCheck ......................... DOMAIN.com passed test LocatorCheck Starting test: Intersite ......................... DOMAIN.com passed test Intersite Die DCs sollten ja die Masterrollenserver von alleine Finden? Wenn ich am AD die Eigenschaften anschaue, sind die Richtigen "Master" eingetragen. Danke für den Tipp. Spalato Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. Oktober 2013 Melden Teilen Geschrieben 2. Oktober 2013 Sieht irgendwie nach Firewallproblemen zwischen dem Role-Owner und dem anderen aus. Was steht denn da alles dazwischen? Zitieren Link zu diesem Kommentar
spalato 10 Geschrieben 2. Oktober 2013 Autor Melden Teilen Geschrieben 2. Oktober 2013 MASTER - FIREWALL - WAN - FIREWALL - PROBLEMSERVER Werde mal die FW checken ob wir da den vorherigen Server irgendwie eingetragen haben. Was ich erwähnen muss ist, wenn ich ein objekt auf einem anderen DC mache, dann repliziert es diesen eintrag richtig auf den problemserver. Auf der Firewall auf beiden Seiten gibt es keinen eintrag für diesen Server. Also kann man die FW ausschliessen... Habe nun auch die Windows FW ausgeschaltet aber es geht noch immer nicht... Warning: *Problemserver* is not advertising as a time server. ......................... *Problemserver* failed test Advertising Starting test: F Warning: *RID MASTER SERVER* is the Domain Owner, but is not responding to DS RPC Bind. Ist es zwingend nötig dass der DC als NTP (zeitserver) arbeitet? Ist ja hier nicht der Fall... weis zwar auch nicht wieso er nicht als NTP arbeitet... Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. Oktober 2013 Melden Teilen Geschrieben 2. Oktober 2013 Auf der Firewall auf beiden Seiten gibt es keinen eintrag für diesen Server. Also kann man die FW ausschliessen... Das sagen immer alle. ;) Die Erfahrung sagt aber was anderes. Wenn das nicht hilft, dann mußt du dich halt mit Wireshark und ähnlichem ransetzen, wo es hakt. Was steht denn alles so im Eventlog? Bye Norbert Zitieren Link zu diesem Kommentar
spalato 10 Geschrieben 2. Oktober 2013 Autor Melden Teilen Geschrieben 2. Oktober 2013 Ich hab auf der FW alle einträge exportiert und nach der IP und dem DNS gesucht und es hat keine Einträge. Von dem her gehe ich aus dass wirklich nix eingetragen ist... :) Ich hab nun alle Logs gelöscht und schaue morgen was sich neues aufgestockt hat... Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 2. Oktober 2013 Melden Teilen Geschrieben 2. Oktober 2013 Das sagen immer alle. ;) Die Erfahrung sagt aber was anderes. Da kommen erinnerungen hoch: es ist nicht die firewall... es ist nicht die firewall ich habe gerade nochmal geschaut. 2 Tage später: ich habe den xyz filter ausgeschaltet, es war wohl doch die firewall... Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 2. Oktober 2013 Melden Teilen Geschrieben 2. Oktober 2013 Ich weiß. ;) Zitieren Link zu diesem Kommentar
spalato 10 Geschrieben 3. Oktober 2013 Autor Melden Teilen Geschrieben 3. Oktober 2013 Im "System" habe ich sehr viele Fehlermeldungen... Teilweise KErberos: The kerberos client received a KRB_AP_ERR_TKT_NYV error from the server *2ter server am standort*$. This indicates that the ticket used against that server is not yet valid (in relationship to that server time). Contact your system administrator to make sure the client and server times are in sync, and that the KDC in realm DOMAIN.COM is in sync with the KDC in the client realm. Schon der DCDIAG sagt ja dass der Server nicht Zeitsynchronisiert ist. Ist es möglich dass die ganzen probleme wegen dem Auftreten? Sollte die Serverzeit nicht automatisch Synchronisiert werden mit dem PDC Master role Server? Wie kann ich dies nochmals anstossen? Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 3. Oktober 2013 Melden Teilen Geschrieben 3. Oktober 2013 w32tm /resync und w32tm /query /status sollten dir das anzeigen. steht der server auf nt5ds sync? Zitieren Link zu diesem Kommentar
spalato 10 Geschrieben 3. Oktober 2013 Autor Melden Teilen Geschrieben 3. Oktober 2013 (bearbeitet) w32tm /query /status stand das er mit keinem Server "synced" ist. Das hab ich schon gemacht. Es steht dass die lokale Zeit "gilt". Die Zeit und die Zeitzone ist korrekt (auf 2-3 sekunden genau) das resync versucht einfach nochmals die lokale zeit abzugleichen, mit dem lokalen computer... also er finden den NTP gar nicht... Komme nun per RDP auch nicht mehr drauf da ein autorisierungsfehler vorhanden. Komme aber noch per VNC drauf... bearbeitet 3. Oktober 2013 von spalato Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 3. Oktober 2013 Melden Teilen Geschrieben 3. Oktober 2013 Dann löse als erstes dein Zeitproblem. Zitieren Link zu diesem Kommentar
spalato 10 Geschrieben 3. Oktober 2013 Autor Melden Teilen Geschrieben 3. Oktober 2013 (bearbeitet) Das möchte ich ja aber weis nicht wie... :S Da dieser Server noch nicht 100% "produktiv" ist, würde es Sinn machen ein DCPROMO zu machen. Neuen Namen vergeben und dann nochmals DCPROMO? bearbeitet 3. Oktober 2013 von spalato Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 3. Oktober 2013 Melden Teilen Geschrieben 3. Oktober 2013 Keine Ahnung, ob das sinnvoll ist. Ich dachte, das wäre eine Neuinstallation? Was sollte also beim zweiten mal anders sein? Zitieren Link zu diesem Kommentar
spalato 10 Geschrieben 3. Oktober 2013 Autor Melden Teilen Geschrieben 3. Oktober 2013 (bearbeitet) Nun zeigen mir auch zb der DHCP an dass er keine server für die autorisation findet... Kannst du mir weiterhelfen wie ich das mit dem Zeitsynch hinkriege? Hab nun folgendes gemacht: 1. w32tm /unregister2. Net stop w32time3. w32tm /register 4. Net start w32time Und es hat alles neu angelegt aber es nimmt noch immer die lokale Zeit wenn ich es mit w32tm /query /status abfragen... bearbeitet 3. Oktober 2013 von spalato Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 3. Oktober 2013 Melden Teilen Geschrieben 3. Oktober 2013 Ist das eine physikalische Installation, oder eine vm? Funktioniert die zeitsync bei allen anderen DCs? Ich tippe immer noch auf eine Firewall oder sicherheitssoftware, Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.