monstermania 53 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Moin, wir sind dabei unser DC's zu aktualisieren. Einer der alten 2003'er DC wurde schon sauber aus der Domäne entfernt. z.Zt. haben wir noch 5 DC im Netz (2 x 2003 einmal mit Exchange 2007, 1 x 2008R2, und 2 x 2012). Die FSMO Rollen sind alle auf einen der 2012'er migriert. Beide 2012'er sind GC-Server. Die beiden 2012 machen auch das DNS und DHCP. Das Ganze läuft schon einige Monate in dieser Konfiguration im Dauerbetrieb. Nun zum Problem. Beim Testen unseres automatischen UPS-Shutdown am Wochenende wurden alle Server heruntergefahren. Wir haben dann als erstes die beiden 2012'er DC wieder angefahren. Allerdings funktionierten dann die Domänendienste nicht. Erst als wir dann noch den einen 2003 DC mit Exchange 2007 gestartet hatten, funktionierten die Domänendienste wieder! Eigentlich sollte das AD wieder laufen, wenn ein beliebiger DC läuft!? Wie kann man die Ursache für das Problem finden? Wieso hat ausgerechnet der DC mit Exchange drauf diese Wirkung? Habe ich beim umstellen der Rollen noch etwas übersehen? Ein Aufruf von repadmin /showrepl zeigt keine Replikationsfehler an. Die Umstellung der beiden verbliebenden 2003 DC steht in den nächsten Wochen an (u.a. Exchange Umstellung) und ich möchte natürlich sicherstellen, dass unser AD auch ohne die 2003'er DC noch läuft! Gruß Dirk Hier die entsprechende Fehlermeldung im Eventlog des 2012 DC. Protokollname: Directory Service Quelle: Microsoft-Windows-ActiveDirectory_DomainService Datum: 24.01.2015 11:06:56 Ereignis-ID: 2092 Aufgabenkategorie:Replikation Ebene: Warnung Schlüsselwörter:Klassisch Benutzer: ANONYMOUS-ANMELDUNG Computer: xxx.xxx.de Beschreibung: Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. FSMO-Rolle: CN=RID Manager$,CN=System,DC=xxx,DC=de Benutzeraktion: 1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 3. In dem Ausnahmefall, dass alle Replikationspartner inaktiv sind, eventuell zu Wartungszwecken oder zur Notfall-Wiederherstellung, können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Wie sind die FSMO-Rollen auf den DCs verteilt? Wie sieht die jeweilige IP-Konfig aller DCs aus? Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Hallo. Nun, das Problem ist ja im angesprochenen KB-Artikel genau beschrieben - http://support.microsoft.com/kb/305476/de . Bist du die einzelnen Punkte schon durchgegangen? LG Günther Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 30. Januar 2015 Autor Melden Teilen Geschrieben 30. Januar 2015 (bearbeitet) Moin, wie bereits geschrieben hat einer der 2012'er DC alle FSMO Rollen übernommen. Ursprünglich waren die FSMO auf dem 2003DC auf dem auch Exchange 2007 läuft. Dieser 2012 DC mit allen FSMO war dann auch der erste DC, der nach dem Neustart aller Systeme angefahren wurde. Und natürlich habe ich mir auch die genannten KB Einträge durchgelesen. Deswegen meine ich ja, dass ich ein Verständnisproblem habe. Grundsätzlich sollten die Domänendienste doch laufen, wenn ein DC im Netzt gestartet wurde, oder? Wie ist denn die optimale Reihenfolge beim hochfahren der DC? Erst der DC, der die FSMO-Rollen innehat, oder erst ein anderer DC? So wie ich das in KB 305476 verstehe, benötigt der DC der FSMO-Rollen innehat zunächst einen DC um sich mit diesem zu replizieren. Findet der DC mit den FSMO Rollen beim Start keinen Replikationspartner hakt es dann!? Gruß Dirk bearbeitet 30. Januar 2015 von monstermania Zitieren Link zu diesem Kommentar
testperson 1.711 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Hi, ich meine mal ein ähnliches Problem gehabt zu haben bei einem Kunden. Da lief auf einem alten DC noch WINS und dieser wurde von den anderen Servern / DCs genutzt. Erst nachdem WINS auch auf einem der neuen DCs installiert / konfiguriert wurde lief dort alles wie gewollt. Bzw. haben wir später WINS in dieser Umgebung beerdigt. Gruß Jan Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 (bearbeitet) Ich führe zu einer ersten Analyse immer dcdiag aus. bearbeitet 30. Januar 2015 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Moin, die Frage nach der DNS-Konfiguration ist noch nicht beantwortet. In den meisten Situationen dieser Art liegt dort das Problem. [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Gruß, Nils Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 30. Januar 2015 Autor Melden Teilen Geschrieben 30. Januar 2015 Moin, ich habe mir jetzt mal die Mühe gemacht, es einfach auszuprobieren. Also flugs mal den DC1 (2012 DC mit allen FSMO) und DC2 (2012) aus der gestrigen Sicherung in ein virtuelles LAN wieder hergestellt. Beide Server sind auch DNS und DHCP (Cluster). DC 2 gestartet. 13:28 DC ist hochgefahren 13:30 Fehler 2087 im Ereignisprotokoll -> keine Erreichbarkeit des DC1 Bis 13:38 mehrere Fehlermeldungen 2087 - keine Erreichbarkeit der anderen DC (alle in der Echtumgebung vorhandene DC werden nacheinander angezeigt) 13:44 AD-Dienste laufen DC1 (2012 DC mit FSMO Rolle gestartet) Hier funktionierte dann sofort Alles. Rund 20 Minuten, bis nach einem Start eines DC das AD läuft. Das scheint mir doch arg lang! Oder ist das normal? Habe dann mal testweise DC1 und DC2 gleichzeitig gestartet. Ebenfalls 20 Minuten bis die AD Dienste laufen! Irgendetwas läuft da wohl total falsch. Nur was? Gruß Dirk Moin, die Frage nach der DNS-Konfiguration ist noch nicht beantwortet. In den meisten Situationen dieser Art liegt dort das Problem. [Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Gruß, Nils Danke, also wir haben nur einen Standort und alle DC sind auch DNS-Server! Auf den beiden 2012 DC die ich jetzt ausschließlich betrachte (die sollen nach der Ablösung der alten DC 2003 und DC2008R2 unsere beiden einzigen DC und DNS bleiben), läuft DNS und DHCP. Beide DC haben jeweils den anderen DC als primären DNS eingetragen. Sich selbst dann als sekundären DNS. Problem ist natürlich, dass direkt nach dem Start der DC's der DNS-Dienst nicht läuft. Keine AD-Dienste kein DNS (Fehler 4013)! WINS haben wir nicht mehr (jedenfalls nicht dass ich das wüsste). Ist auch auf keinem DC mehr eingetragen! Gruß Dirk Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Und wie sind die Ergebnisse von dcdiag an den DC? Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 30. Januar 2015 Autor Melden Teilen Geschrieben 30. Januar 2015 Und wie sind die Ergebnisse von dcdiag an den DC? In der Echtumgebung liefert dcdiag auf allen DC's keine Fehler! Und nu? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Moin, eine lange Startzeit ist normal, wenn von mehreren DCs nur einer startet. Der muss ja schließlich schauen, ob die anderen da sind. Er kann sonst ja nicht entscheiden, ob er auf dem aktuellen Stand ist. In diesem Fall kann es in der Tat zusätzliche Wartezeit erzeugen, wenn primär ein anderer, auch nicht erreichbarer DC als DNS eingetragen ist. Das sollte aber nicht gravierend sein, und in allen anderen Situationen (nur ein DC startet neu) wird es eben deutlich schneller. Die Zeiten, die du beobachtest, sind schon recht lang, aber plausibel. Gruß, Nils Zitieren Link zu diesem Kommentar
monstermania 53 Geschrieben 30. Januar 2015 Autor Melden Teilen Geschrieben 30. Januar 2015 (bearbeitet) Danke Nils, also scheint ja eigentlich Alles in Ordnung zu sein. War halt etwas b***d, als wir nach dem kompletten UPS-Shutdowntest unsere Server wieder angefahren haben und nach dem Start von 2 DC immer noch kein DNS im Netz funktionierte. Als wir dann den 2003 DC auch neu angefahren hatten lief es dann halt sofort. Macht einem halt etwas Angst, dass etwas grundsätzliches mit dem AD nicht stimmt. Ich denke mal, dass wenn die 3 alten DC erst mal aus dem AD verschwunden sind dass Problem sowieso erledigt ist. Ist ja auch kein normaler Betriebszustand, dass alle Server down sind. Ach ja, die 20 Minuten mögen auch meiner Testumgebung geschuldet sein. Ist nicht gerade ein Renner. Gruß Dirk bearbeitet 30. Januar 2015 von monstermania Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 30. Januar 2015 Melden Teilen Geschrieben 30. Januar 2015 Wir hatten das bei einem geplanten Shutdown wegen Wartungsarbeiten am Stromnetz auch gehabt das der erste DC länger braucht - denke das ist völlig normal. Wir haben dann halt Server die direkt vom DC abhängen, wie Exchange und Sharepoint, einfach dann nochmal neu gestartet. Kommt jetzt auch nicht so oft vor das man sowas komplett neu startet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.