Jump to content

Verständnisproblem AD läuft nicht ohne einen bestimmten DC

monstermania

Von monstermania
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

monstermania Mentor

monstermania   53

Geschrieben
Geschrieben

Moin,

wir sind dabei unser DC's zu aktualisieren. Einer der alten 2003'er DC wurde schon sauber aus der Domäne entfernt.

z.Zt. haben wir noch 5 DC im Netz (2 x 2003 einmal mit Exchange 2007, 1 x 2008R2, und 2 x 2012).

Die FSMO Rollen sind alle auf einen der 2012'er migriert. Beide 2012'er sind GC-Server. Die beiden 2012 machen auch das DNS und DHCP. Das Ganze läuft schon einige Monate in dieser Konfiguration im Dauerbetrieb.

 

Nun zum Problem. Beim Testen unseres automatischen UPS-Shutdown am Wochenende wurden alle Server heruntergefahren.

Wir haben dann als erstes die beiden 2012'er DC wieder angefahren. Allerdings funktionierten dann die Domänendienste nicht.

Erst als wir dann noch den einen 2003 DC mit Exchange 2007 gestartet hatten, funktionierten die Domänendienste wieder!

 

Eigentlich sollte das AD wieder laufen, wenn ein beliebiger DC läuft!? Wie kann man die Ursache für das Problem finden? Wieso hat ausgerechnet der DC mit Exchange drauf diese Wirkung? Habe ich beim umstellen der Rollen noch etwas übersehen?

Ein Aufruf von repadmin /showrepl zeigt keine Replikationsfehler an.

 

Die Umstellung der beiden verbliebenden 2003 DC steht in den nächsten Wochen an (u.a. Exchange Umstellung) und ich möchte natürlich sicherstellen, dass unser AD auch ohne die 2003'er DC noch läuft!

 

Gruß

Dirk

 

Hier die entsprechende Fehlermeldung im Eventlog des 2012 DC.

Protokollname: Directory Service
Quelle:        Microsoft-Windows-ActiveDirectory_DomainService
Datum:         24.01.2015 11:06:56
Ereignis-ID:   2092
Aufgabenkategorie:Replikation
Ebene:         Warnung
Schlüsselwörter:Klassisch
Benutzer:      ANONYMOUS-ANMELDUNG
Computer:      xxx.xxx.de
Beschreibung:

Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. 
 
Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. 
 
FSMO-Rolle: CN=RID Manager$,CN=System,DC=xxx,DC=de 
 
Benutzeraktion: 
 
1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 
2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 
3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden.
Link zu diesem Kommentar
monstermania Mentor

monstermania   53

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Moin,

wie bereits geschrieben hat einer der 2012'er DC alle FSMO Rollen übernommen. Ursprünglich waren die FSMO auf dem 2003DC auf dem auch Exchange 2007 läuft. Dieser 2012 DC mit allen FSMO war dann auch der erste DC, der nach dem Neustart aller Systeme angefahren wurde.

Und natürlich habe ich mir auch die genannten KB Einträge durchgelesen.

 

Deswegen meine ich ja, dass ich ein Verständnisproblem habe.

Grundsätzlich sollten die Domänendienste doch laufen, wenn ein DC im Netzt gestartet wurde, oder?

Wie ist denn die optimale Reihenfolge beim hochfahren der DC? Erst der DC, der die FSMO-Rollen innehat, oder erst ein anderer DC? So wie ich das in KB 305476 verstehe, benötigt der DC der FSMO-Rollen innehat zunächst einen DC um sich mit diesem zu replizieren.

Findet der DC mit den FSMO Rollen beim Start keinen Replikationspartner hakt es dann!?

 

Gruß

Dirk

bearbeitet von monstermania
Link zu diesem Kommentar
testperson Grand Master

testperson   1.674

Geschrieben
Geschrieben

Hi,

 

ich meine mal ein ähnliches Problem gehabt zu haben bei einem Kunden. Da lief auf einem alten DC noch WINS und dieser wurde von den anderen Servern / DCs genutzt. Erst nachdem WINS auch auf einem der neuen DCs installiert / konfiguriert wurde lief dort alles wie gewollt. Bzw. haben wir später WINS in dieser Umgebung beerdigt.

 

Gruß

Jan

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

die Frage nach der DNS-Konfiguration ist noch nicht beantwortet. In den meisten Situationen dieser Art liegt dort das Problem.

 

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Gruß, Nils

Link zu diesem Kommentar
monstermania Mentor

monstermania   53

Geschrieben
  • Autor
Geschrieben

Moin,

ich habe mir jetzt mal die Mühe gemacht, es einfach auszuprobieren.

Also flugs mal den DC1 (2012 DC mit allen FSMO) und DC2 (2012) aus der gestrigen Sicherung in ein virtuelles LAN wieder hergestellt. Beide Server sind auch DNS und DHCP (Cluster).

 

DC 2 gestartet.

13:28 DC ist hochgefahren

13:30 Fehler 2087 im Ereignisprotokoll -> keine Erreichbarkeit des DC1

Bis 13:38 mehrere Fehlermeldungen 2087 - keine Erreichbarkeit der anderen DC (alle in der Echtumgebung vorhandene DC werden nacheinander angezeigt)

13:44 AD-Dienste laufen  

 

DC1 (2012 DC mit FSMO Rolle gestartet)

Hier funktionierte dann sofort Alles.

 

Rund 20 Minuten, bis nach einem Start eines DC das AD läuft. Das scheint mir doch arg lang!

Oder ist das normal?

 

Habe dann mal testweise DC1 und DC2 gleichzeitig gestartet.

Ebenfalls 20 Minuten bis die AD Dienste laufen!

 

Irgendetwas läuft da wohl total falsch. Nur was?

 

Gruß

Dirk


Moin,

 

die Frage nach der DNS-Konfiguration ist noch nicht beantwortet. In den meisten Situationen dieser Art liegt dort das Problem.

 

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Gruß, Nils

 

Danke,

also wir haben nur einen Standort und alle DC sind auch DNS-Server!

Auf den beiden 2012 DC die ich jetzt ausschließlich betrachte (die sollen nach der Ablösung der alten DC 2003 und DC2008R2 unsere beiden einzigen DC und DNS bleiben), läuft DNS und DHCP. Beide DC haben jeweils den anderen DC als primären DNS eingetragen. Sich selbst dann als sekundären DNS.

Problem ist natürlich, dass direkt nach dem Start der DC's der DNS-Dienst nicht läuft. Keine AD-Dienste kein DNS (Fehler 4013)!

WINS haben wir nicht mehr (jedenfalls nicht dass ich das wüsste). Ist auch auf keinem DC mehr eingetragen!

 

Gruß

Dirk

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.930

Geschrieben
Geschrieben

Moin,

 

eine lange Startzeit ist normal, wenn von mehreren DCs nur einer startet. Der muss ja schließlich schauen, ob die anderen da sind. Er kann sonst ja nicht entscheiden, ob er auf dem aktuellen Stand ist.

In diesem Fall kann es in der Tat zusätzliche Wartezeit erzeugen, wenn primär ein anderer, auch nicht erreichbarer DC als DNS eingetragen ist. Das sollte aber nicht gravierend sein, und in allen anderen Situationen (nur ein DC startet neu) wird es eben deutlich schneller.

 

Die Zeiten, die du beobachtest, sind schon recht lang, aber plausibel.

 

Gruß, Nils

Link zu diesem Kommentar
monstermania Mentor

monstermania   53

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Danke Nils,

also scheint ja eigentlich Alles in Ordnung zu sein.

War halt etwas b***d, als wir nach dem kompletten UPS-Shutdowntest unsere Server wieder angefahren haben und nach dem Start von 2 DC immer noch kein DNS im Netz funktionierte. Als wir dann den 2003 DC auch neu angefahren hatten lief es dann halt sofort. Macht einem halt etwas Angst, dass etwas grundsätzliches mit dem AD nicht stimmt.

 

Ich denke mal, dass wenn die 3 alten DC erst mal aus dem AD verschwunden sind dass Problem sowieso erledigt ist. Ist ja auch kein normaler Betriebszustand, dass alle Server down sind.

 

Ach ja, die 20 Minuten mögen auch meiner Testumgebung geschuldet sein. Ist nicht gerade ein Renner.

 

Gruß

Dirk

bearbeitet von monstermania
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...