Jump to content

2012R2 - Events/Probleme (Bereinigung)


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo MSCE - Gemeinschaft!

 

Eine kurze Einleitung. Früher gab es einen SBS2011 welcher auf 2012R2 Standard umgestellt wurde.

Exchange gibt es nicht mehr intern im Unternehmen und der 2012R2er ist virtualisiert. (Der Host hat nur die Hyper-V-Rolle installiert und sonst nichts.)
SharePoint gibt es eben sowenig.

 

Nun zur virtuellen 2012R2 Standard Installation.

Was ich über die Migration weiß: Alle Rollen wurden sauber übertragen und der alte DC wurde herabgestuft und letztendlich aus der Domäne herausgenommen.

Auf dem neuen Server läuft jetzt AD, DNS, DHCP, Dateidienste, Druckerserver, WSUS (deswegen auch IIS). SQL Server wird aber noch folgen.

WSUS lädt keine Updatedateien herunter, dient eher nur zur Clientübersicht.

 

Nun zu meinen Problemen:

 

Die Ereignisprotokolleinträge: Ich würde das gerne Bereinigen, komme aber nicht weiter. Diese Einträge kommen bei JEDEM Systemstart genau einmal, sonst nie.

 

Events:

Event 4013 - Warnung: DNS - Server

Der DNS-Server wartet darauf, dass von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung des Verzeichnisses durchgeführt wurde. Der DNS-Serverdienst kann erst nach der Erstsynchronisierung gestartet werden, da wichtige DNS-Daten möglicherweise noch nicht auf diesen Domänencontroller repliziert wurden. Sofern die im Ereignisprotokoll der Active Directory-Domänendienste protokollierten Ereignisse deutlich machen, dass Probleme bei der DNS-Namensauflösung vorliegen, sollte ggf. die IP-Adresse eines weiteren DNS-Servers für diese Domäne der DNS-Serverliste in den Internetprotokolleigenschaften dieses Computers hinzugefügt werden. Dieses Ereignis wird alle zwei Minuten protokolliert, bis von den Active Directory-Domänendiensten angezeigt wird, dass die Erstsynchronisierung durchgeführt wurde.

 

Event 2886 - Warnung: AD DS

Sie können die Sicherheit dieses Verzeichnisservers deutlich verbessern, indem Sie den Server so konfigurieren, dass SASL-Bindungen (Verhandlung, Kerberos, NTLM oder Digest), LDAP-Bindungen ohne Anforderung einer Signatur (Integritätsüberprüfung) und einfache LDAP-Bindungen über eine Klartextverbindung (ohne SSL-/TLS-Verschlüsselung) zurückgewiesen werden. Selbst wenn keine Clients derartige Bindungen nutzen, erhöht sich die Sicherheit des Servers durch diese Konfiguration beträchtlich.
 
Einige Clients benötigen möglicherweise unsignierte SASL-Bindungen oder einfache LDAP-Bindungen über eine Verbindung  ohne SSL-/TLS-Verschlüsselung. Diese funktionieren nach der Konfigurationsänderung nicht mehr. Zur besseren Identifizierung dieser Clients  protokolliert dieser Verzeichnisserver alle 24 Stunden ein Zusammenfassungsereignis mit Informationen über die Anzahl derartiger  Bindungen. Es wird empfohlen, die betroffene Clients für einen anderen Bindungstyp zu konfigurieren. Beobachten Sie zunächst  über einen längeren Zeitraum diese Ereignisse, und konfigurieren Sie dann den Server so, dass derartige Bindungen zurückgewiesen werden.
 
Weitere Einzelheiten und Informationen dazu, wie Sie diese Konfigurationsänderung auf dem Server vornehmen, finden Sie unter "http://go.microsoft.com/fwlink/?LinkID=87923".
 
Sie können die Protokollierung erweitern und bei jeder derartigen Bindung durch einen Client ein Ereignis protokollieren.  Hierzu gehören Informationen dazu, welcher Client die Bindung vornahm. Erhöhen Sie hierzu die Einstellung für die Ereignisprotokollierungskategorie "LDAP-Schnittstellenereignisse" auf Stufe 2 oder höher.

Kann ich das ohne Bedenken umstellen?

 

Event 1202 - Fehler: ADWS

Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen.
 
 Verzeichnisinstanz: NTDS
 LDAP-Port der Verzeichnisinstanz: 389
 SSL-Port der Verzeichnisinstanz: 636

 

Event 10154 - Warnung: Windows Remote Management

Auf diesem Computer wird nun die angegebene Verzeichnisinstanz gehostet, doch konnte diese von Active Directory-Webdiensten nicht bedient werden. Von Active Directory-Webdiensten wird in regelmäßigen Abständen erneut versucht, den Vorgang auszuführen.
 
 Verzeichnisinstanz: NTDS
 LDAP-Port der Verzeichnisinstanz: 389
 SSL-Port der Verzeichnisinstanz: 636

 

Event 1014 - Warnung: DNS Client Events

Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.domainxx., nachdem keiner der konfigurierten DNS-Server geantwortet hat.

 

Event 1055 - Fehler: GroupPolicy (Microsoft-Windows-GroupPolicy)

Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Computername konnte nicht aufgelöst werden. Dies kann mindestens eine der folgenden Ursachen haben:
a ) Fehler bei der Namensauflösung mit dem aktuellen Domänencontroller.
b ) Active Directory-Replikationswartezeit (ein auf einem anderen Domänencontroller erstelltes Konto hat nicht auf dem aktuellen Domänencontroller repliziert).

 

Event 6038 - Warnung: LSA (LsaSrv) - Das Event passiert am Server wenn ich mich mit Remotedesktop auf diesem Server anmelde.

Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.
 
NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes:
 
      Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet?
      Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird?
      Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert?
 
Ausführliche Informationen zum Ausführen dieser Überprüfungen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=225699".

 

dcdiag

Da kommen die oberen Events + Zusätzlich auch folgendes:

Starting test: FrsEvent
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.

Wo finde ich da nähere Infos darüber?

 

Alten (DC) Computer löschen

Im AD Benutzer & Computer sehe ich unter "SBSComputers" den alten (DC) Computer. Beim herabstufen wurde er automatisch von Domänen Controller nach SBSComputers verschoben.

Als er aus der Domäne genommen wurde, wurde das Konto (Computer) automatisch deaktiviert.

Wenn ich den Computer jetzt im AD rechts anklicke und auf löschen klicke, die Bestätigung bestätige und anschließend mit "Unterstruktur löschen" bestätige, dann kommt folgende Fehlermeldung:

Sie sind nicht dazu berechtigt, "CN=Computername, OU=SBSComputers,OU=Computers,OU=MyBusiness,DC=domainname,DC=local" zu löschen, oder dieses Objekt ist vor versehentlichem Löschen geschützt.

 

 

Ich sage es mal so, alles was vom Server genutzt wird, funktioniert Fehlerfrei!  :) Ich würde aber gerne alle "Warnungen" weg bekommen. Damit das System sauber ist.

Achja, es ist anzumerken ich habe bei so gut wie allen Punkten mehrmals im Google gesucht. Ich bin zwar fündig geworden aber nichts half, manchmal gab es gar keine Erklärung. (Natürlich ist jetzt wieder alles am alten Stand...) Jetzt wüsste ich gerne wie ich das "richtig" beseitige.

 

Vielen Dank

 

 

 

Link zu diesem Kommentar

Dein DNS funktioniert nicht (erstes Event), deshalb funktioniert auch Kerberos nicht. FRS hat ein eigenes Eventlog, da steht mehr dazu drin, dürfte aber auch ein DNS-Problem sein. Ursache ist meist, daß ein einzelner DC sowohl DNS als auch alles andere macht. Und DNS startet zu spät.

 

Diese "Beschreibung" war mir nun schon klar... Dadurch der DNS wartet, sind manche Anforderungen nicht beantwortbar. Wie bekomme ich das hin?

Kann man eventuell einstellen, dass der DNS sofort verfügbar sein soll auch wenn das AD noch nicht vollständig verfügbar ist?

Link zu diesem Kommentar

Moin,

 

das bekommst du hin, indem du einen zweiten DC installierst und dort DS "über Kreuz" konfigurierst.

 

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Das Event 2886 kannst du ignorieren, sofern du dein internes Netzwerk für ausreichend sicher hältst.

 

Den alten DC solltest du noch entfernen, das sollte mit NTDSUtil gehen:

 

[Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung]
http://support.microsoft.com/kb/216498
 

Danach lass sich alles einschwingen, die meisten Fehler sollten verschwinden.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

also, noch mal langsam:

  • Auch in kleineren Umgebungen sollte man nie nur einen einzelnen DC haben.
  • In einer Virtualisierungsumgebung sollte mindestens ein DC pro Domäne physisch sein. Den Grund dafür hast du gerade selbst benannt - sonst kein AD ohne Host.
  • Ein DC ist ein DC, dort installiert man keine weiteren Anwendungen und Dienste.

Die Fehler, die mit der nicht erfolgreichen Replikation mit dem nicht mehr existierenden DC zu tun haben, solltest du wie oben angegeben beheben. Die anderen Fehler sollten im laufenden Betrieb nicht auftreten, denn sonst ist es nicht nur ein DNS-Timeout, sondern dann hast du ein echtes DNS-Problem.

 

Gruß, Nils

Link zu diesem Kommentar

Hi,

 

Jetzt wollte ich den Rat mit ntdsutil testen.

Wenn ich das Verfahren 1 durchgehe habe ich bei "List Servers in site" nur den aktuellen (richtigen) DC verfügbar.

 

Wenn ich weiterlese...Erweiterte optionale Syntax

ntdsutil: remove selected server CN=OLDServerName,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mydomain,DC=local

Dann kommt: "Fehler beim Verarbeiten der Eingabe - Ungültige Syntax." (OldServerName und mydomain ist korrekt gesetzt.)

Was mache ich hier falsch?

 

Bezüglich der "langsamen" Erklärung:

In einer Virtualisierungsumgebung sollte mindestens ein DC pro Domäne physisch sein. Den Grund dafür hast du gerade selbst benannt - sonst kein AD ohne Host.

So ganz logisch ist mir das nicht. Warum hab ich das selbst beantwortet?

Mein Hyper-V ist nicht geclustert oder sonst irgendetwas. Deswegen ist der Host nicht in der Domäne, theoretisch hätte ich sogar direkt alles am Host installieren können. Ich dachte, ich habe dann nur eine "kompakten" virtuelle Maschine.

Brauche ich einen zweiten Server? Ein Host nur AD, DNS & DHCP installieren und auf einer anderen Maschine die Dateifreigabe, Druckerserver, WSUS & DC/DNS Replizieren weil 1 DC in einer Domäne nicht reicht?

 

Danke,

Wróng

Link zu diesem Kommentar

Moin,

 

Wie viele User sind in der Domäne? Welche vollständige Ausfallzeit bist du zu tolerieren bereit?

 

Hast du nur den einen virtuellen DC, und dein Host fällt aus, dann ist kein AD verfügbar, und niemand kann arbeiten, bis du ein vollständiges Recovery ausgeführt hast. Wenn das tolerabel ist - mach weiter. In den meisten Umgebungen ist es aber vorteilhaft, einen separaten DC zu haben, weil (unter anderem) die meisten Recovery-Vorgänge dann viel schneller gehen. Fällt dir dann nämlich dein Host aus, ist der separate DC noch da, also kein aufwändiges AD-Recovery nötig.

 

Gruß, Nils

Link zu diesem Kommentar

Hi Nils,

 

6 User. Die Ausfallzeit ist eine gute Frage. Mein Konzept ist, eine "Sicherung" vom virtuellen Server (disks) wiederherstellen. Wenn der (AD) Server nicht läuft, kann sowieso niemand arbeiten, aber alles Clustern ist nicht realisierbar.

 

Ich habe die letzten Tage eine Menge Zeit in die Events investiert. Mir bleiben jedoch folgende Probleme offen:

  1. Die Bereinigung vom Server, der "Rat mit ntdsutil". Der "alte" DC wird nicht aufgelistet. Wenn ich in der Testumgebung den herabgestuften-deaktivierten Server ohne "Unterstruktur" lösche, verschwindet der aus dem AD. Ist das ausreichend?
  2. Ein neues Problem, iSCSI. Event 121 - Warnung: MSiSCI: (Dort speichert das Windows Server Backup die Daten) iSNS verwende ich nicht.

    Die Firewallausnahme zum Zulassen der iSNS-Clientfunktionalität (Internet Storage Name Server) ist nicht aktiviert. Die iSNS-Clientfunktionalität ist nicht verfügbar.

    Bekomme ich irgendwie die Warnung weg?
  3. Warnungen/Fehler im ersten Beitrag: ADWS, Group Policy, DNS bekomme ich nicht weg. Das ist definitiv, weil ich nur einen DC habe. Es gibt aber keine weiteren Melden mehr. Kann ich das ignorieren?

 

In einer Testumgebung hab ich folgendes herausgefunden:

Die LSA Warnung ist deswegen, weil ich von einem PC außerhalb der Domäne von einem Subnetz über Remotedesktop zugreife.

WinRM ist im Server Manager deaktiviert. Hier könnte ich den Dienst verzögert starten -> Warnung beim Systemstart verschwindet.
Was dcdiag & Frsevent angeht, da habe ich vergessen, dass dies ja ein virtueller Server ist. Da dort "Disk Cache" aktiv ist, obwohl es in Wirklichkeit deaktiviert ist, kommen deswegen beim Systemstart mehrere Warnungen.
Danke,

Wróng


 

Link zu diesem Kommentar

Moin,

 

gut, bei nur sechs Usern könnte man tatsächlich argumentieren, dass ein zweiter DC übertrieben ist. Dann muss aber das Recovery-Konzept passen. Ich bin kein großer Freund von Images oder VM-Komplettsicherungen; auf jeden Fall empfehle ich dir, zusätzlich noch ein System-State-Backup des DC mit Windows Server Backup zu machen (täglich). Das kann in bestimmten Szenarien vermeiden, dass man gleich die ganze VM zurücksetzen muss.

 

Trotzdem sollte man nicht aufs Geratewohl Funktionen auf einem Server konzentrieren. Das ist der Stabilität tendenziell abträglich. Wozu du iSCSI auf dem DC machst, ist mir immer noch nicht klar.

 

Die Timeout-Probleme beim DC-Neustart kannst du ignorieren - das sind i.d.R. die, die nach einigen Minuten von selbst verschwinden und eben nur nach Neustart auftreten. Das geht dann eben nicht anders.

 

In Windows 2012 R2 kannst du einen nicht mehr laufenden DC über das GUI löschen, er wird dann automatisch aus den Metadaten der Domäne entfernt. NTDSUtil sollte dann nicht nötig sein.

 

Gruß, Nils

Link zu diesem Kommentar
  • 2 Wochen später...

Danke Nils.

 

Vollständigkeitshalber ein kleiner Nachtrag.

Im AD hat das Löschen "mit Unterstruktur" aufgrund von fehlenden Berechtigungen nicht funktioniert.

Das Objekt direkt löschen "ohne Unterstruktur" würde Problemlos funktionieren.

 

Aktiviere ich im AD die erweiterten Features, dann sind bei dem "Server" unter "MyBusiness/...." im Tree Subelemente sichtbar. Ich habe diese Subelemente von diesem Server direkt gelöscht. Anschließend wird der Server ohne Probleme erfolgreich gelöscht.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...