kosta88 2 Geschrieben 19. Mai 2017 Autor Melden Teilen Geschrieben 19. Mai 2017 (bearbeitet) Probleme. Die Replizierung dauert zu lang für meinen Geschmack. Von S02 -> ZAUBERKISTE dauerte schon ne Weile, also gefühlte 1-2 Minuten bis der Rechnername und Beschreibung aktualisiert wurde. Jedoch OK... Aber auf RZ-DC kommt nix an, da kommen auch viele DNS Fehler: Der DNS-Server hat einen kritischen Active Directory-Fehler ermittelt. Stellen Sie sicher, dass Active Directory ordnungsgemäß funktioniert. Die erweiterten Fehlerdebuginformationen (die eventuell leer sind) lauten "". Die Ereignisdaten enthalten den Fehlercode. IPCONFIG auf allen Servern sieht derzeit so aus: S02: IP 10.146.32.131/24 GW 10.146.32.254 DNS1: 10.146.32.131 ZAUBERKISTE: IP 10.146.32.145/24 GW 10.146.32.254 DNS1: 10.146.32.145 RZ-DC: IP 10.225.159.1/24 GW 10.225.159.250 DNS1: 10.241.56.131 DNS2: 10.225.159.1 Auf RZ-DC: ping domain.local -> NEIN. (Verweis auf das 10.146.32.0 Netz) ping S02 -> NEIN. (Verweis auf das 10.146.32.0 Netz) ping ZAUBERKISTE -> NEIN. (Verweis auf das 10.146.32.0 Netz) ping 10.241.56.131 -> JA. Im DNS fehlen lauta Einträge. Die hatte ich aber zuletzt gemacht. Hääää? Warum? Und jetzt frage ich mich stark, warum das gestern am Abend noch funktioniert hat. Habe extra die Server neugestartet um sicher zu stellen dass alle Caches gelöscht sind. Und jetzt EDIT: Habe folgendes gemacht: Entsprechende PTR gelöscht domain.local A-Record 10.241.56.131 gelöscht und nochmals erstellt S02 A-Record gelöscht und wieder erstellt ZAUBERKISTE A-Record gelöscht und wieder erstellt DNS Cache gelöscht und DNS neugestartet Ereignisanzeige zeigt jetzt keine laufenden DNS-Server-Service Fehler mehr. Vorher waren sie jede 5 Minuten, jetzt ist seit 18 Minuten Ruhe. dcdiag /q zeigt viele Fehler, aber soweit ich sehe, das ist die Analyse der Ereignisanzeige, Einträge noch vor 1 Stunde. Jetzt funktioniert zwar das pingen des S02 und domain.local, es kommt auch die richtige IP zurück, aber es findet (noch) keine Replikation statt - die neuen DNS Einträge sind auf anderen Servern noch nicht eingetragen. Vielleicht dauert es ja...? Ich habe jetzt mal alle Server wieder neugestartet. Mal sehen. bearbeitet 19. Mai 2017 von kosta88 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 19. Mai 2017 Melden Teilen Geschrieben 19. Mai 2017 (bearbeitet) Welche der Diskussionen ist denn jetzt die aktuelle? Für hier: liegt am NAT bearbeitet 19. Mai 2017 von magheinz Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 19. Mai 2017 Autor Melden Teilen Geschrieben 19. Mai 2017 (bearbeitet) Weitere Fehler nach dem Neustart (Analyse am RZ-DC): ## Der DFS-Replikationsdienst beendet die Kommunikation mit Partner S02 für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen. Weitere Informationen:Fehler: 1726 (Der Remoteprozeduraufruf ist fehlgeschlagen.)Verbindungs-ID: 6F67EEEB-2412-4A98-BB70-24D221336A60Replikationsgruppen-ID: E16379D9-90D8-4D50-A0CD-71718A2A3186 ## Der DFS-Replikationsdienst beendet die Kommunikation mit Partner ZAUBERKISTE für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen. Weitere Informationen:Fehler: 1726 (Der Remoteprozeduraufruf ist fehlgeschlagen.)Verbindungs-ID: 57274992-2AFB-4C45-BD66-D159D192A886Replikationsgruppen-ID: E16379D9-90D8-4D50-A0CD-71718A2A3186 ## Wieder: Der DNS-Server hat einen kritischen Active Directory-Fehler ermittelt. Stellen Sie sicher, dass Active Directory ordnungsgemäß funktioniert. Die erweiterten Fehlerdebuginformationen (die eventuell leer sind) lauten "". Die Ereignisdaten enthalten den Fehlercode. ## Zeitüberschreitung bei der Namensauflösung für den Namen _ldap._tcp.dc._msdcs.domain.local., nachdem keiner der konfigurierten DNS-Server geantwortet hat. ## Die folgenden SPNs konnten vom WinRM-Dienst nicht erstellt werden: WSMAN/RZ-DC.domain.local; WSMAN/RZ-DC. Zusätzliche Daten Empfangener Fehler: 8344: %%8344. Benutzeraktion Die SPNs können von einem Administrator mithilfe des Hilfsprogramms "setspn.exe" erstellt werden. ## repadmin /replsummary schaut auch grausig aus: Zeigt NUR Ziel-DSA, kein Quell-DSA. ## Aber zum Positiven: Nach paar Minuten jetzt erscheinen die o.g. DNS Einträge auf dem S02 und ZAUBERKISTE. Keine laufenden Fehler am RZ-DC. Welche der Diskussionen ist denn jetzt die aktuelle? Für hier: liegt am NAT Hier ist alles aktuell. OK Status jetzt, 09:56: repadmin /replsummary OK eventvwr zeigt keine Replikation oder DNS bezogene Fehler pings funktionieren Test mit Änderung der Beschreibung geht jetzt innerhalb von 30sec Warum domain.local Einträge gefehlt haben... weiß ich nicht. Aber sind jetzt vorhanden und statisch. S02 verweis auf 10.241.56.131 ist aber wieder verschwunden. Ich frage mich jetzt auch warum dieser immer wieder weg ist. UPDATE 10:32: Jetzt wieder diese Meldung: ## Der DFS-Replikationsdienst beendet die Kommunikation mit Partner S02 für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen. Weitere Informationen:Fehler: 1726 (Der Remoteprozeduraufruf ist fehlgeschlagen.)Verbindungs-ID: 6F67EEEB-2412-4A98-BB70-24D221336A60Replikationsgruppen-ID: E16379D9-90D8-4D50-A0CD-71718A2A3186 ##Der DFS-Replikationsdienst beendet die Kommunikation mit Partner ZAUBERKISTE für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen. Weitere Informationen:Fehler: 1726 (Der Remoteprozeduraufruf ist fehlgeschlagen.)Verbindungs-ID: 57274992-2AFB-4C45-BD66-D159D192A886Replikationsgruppen-ID: E16379D9-90D8-4D50-A0CD-71718A2A3186 ## Ebenso auf dem S02: Der DFS-Replikationsdienst beendet die Kommunikation mit Partner RZ-DC für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen. Weitere Informationen:Fehler: 1726 (Der Remoteprozeduraufruf ist fehlgeschlagen.)Verbindungs-ID: 943AD73F-B6F6-4622-B43D-6250A2DDC8E8Replikationsgruppen-ID: E16379D9-90D8-4D50-A0CD-71718A2A3186 ## Aber glaube nicht dass das ein Problem ist. Es ist nur eine Warnung und dann das: Ich starte die Server nochmal einen nach dem anderen langsam neu und lasse das ganze dann laufen. bearbeitet 19. Mai 2017 von kosta88 Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 19. Mai 2017 Melden Teilen Geschrieben 19. Mai 2017 Moin, für mich klingt die Problemlage nicht, als sollte man das weiter über ein Forum behandeln. Gruß, Nils Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 19. Mai 2017 Autor Melden Teilen Geschrieben 19. Mai 2017 Zugegeben, es ist schon sehr kompliziert, aber positiv gesehen, funktioniert jetzt scheinbar schon alles... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. Mai 2017 Melden Teilen Geschrieben 19. Mai 2017 (bearbeitet) Moin Ich stimme Nils da zu. Aber was nützt es? Ich unterscheide zwischen Fehlermneldungen und Warnungen. Wozu wird denn DFS benötigt in diesem Fall? Wird das wirklich benötigt? Kann das entfernt werden? bearbeitet 19. Mai 2017 von lefg Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 19. Mai 2017 Melden Teilen Geschrieben 19. Mai 2017 Zugegeben, es ist schon sehr kompliziert, aber positiv gesehen, funktioniert jetzt scheinbar schon alles... Du benutzt eine andere Definition von "funktioniert" als ich. Und es ist gar nicht sehr kompliziert, du machst es aber sehr kompliziert. Selbst wenn jetzt keine Fehlermeldungen oder Warnungen mehr kommen hast du doch keine Ahnung warum das so ist. Ich könnte nicht ruhig schlafen wenn da eine Firma dran hängen würde. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. Mai 2017 Melden Teilen Geschrieben 19. Mai 2017 ......Ich könnte nicht ruhig schlafen wenn da eine Firma dran hängen würde. Da die Einrichtung am RZ einer Hochschule hängt, ist wohl keine Firma vom Gang zum Konkursrichter betroffen. Ausserdem scheint es zur Zufriedenheit der Benutzer und Geschäftsleitung zu funktionieren. Anscheinend hat Kosta freie Hand und Auftrag. Gerne spielte ich da Mäuschen und schaute mir das selbst hautnah an. Wäre ich früher mal von so etwas betroffen gewesen, ich hätte wohl viel gelernt dabei. Es ist wie es ist. Wir hier können nur konstruktiv kritisieren und Hilfestellung geben. Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 19. Mai 2017 Autor Melden Teilen Geschrieben 19. Mai 2017 (bearbeitet) Wozu wird denn DFS benötigt in diesem Fall? Wird das wirklich benötigt? Kann das entfernt werden? Naja, es ist nichts kaputt derzeit. Die Fehler tauchen ja immer wieder auf, aber immer darauffolgend die Meldung dass es funktioniert hat. Objekte replizieren, DNS auch. Ich habe glaube ich bereits wo geschrieben dass ich das via NAT nicht so belassen will, die Entscheidung ist nur jetzt, ja kurzfristig so zu belassen bis alle Server in RZ installiert und bereit sind, d.h. zwei DCs dort, und dann alle Server hier entfernt. Die einzige Variante dass ich lokal einen Server haben werde ist wenn ich irgendwie NAT vermeiden könnte... die Idee ist noch ein lokales Netz mit Adresse 10.225.159.0 zu erstellen und nachsehen ob das eventuel was hilft. Ich dachte ich hätte schon klar gestellt dass DC over NAT für mich keine langfristige Lösung ist. Selbst wenn jetzt keine Fehlermeldungen oder Warnungen mehr kommen hast du doch keine Ahnung warum das so ist. Ich könnte nicht ruhig schlafen wenn da eine Firma dran hängen würde. Bei einigen habe ich schon Ahnung, und auch die Ursache, die ich auch beseitigt habe. DFS Replikation Warnung ist auch weg - das weiß ich nicht warum. Wie schon gesagt, ich kann mit einer nicht standardisierten und supporteten Lösung leben, deswegen wird das auch abgeschafft - aber in Schritten, damit ich eben sicher bin was genau passiert. Da die Einrichtung am RZ einer Hochschule hängt, ist wohl keine Firma vom Gang zum Konkursrichter betroffen. Ausserdem scheint es zur Zufriedenheit der Benutzer und Geschäftsleitung zu funktionieren. Anscheinend hat Kosta freie Hand und Auftrag. Einer Hochschule? Ne. Keine Hochschule. Eigentlich ist unser RZ eines der Top IT-Unternehmen in DE und wir sind eine 20-Mitarbeiter Tochtergesellschaft. Jedoch ist dem Mutterkonzern grundstzlich egal was wir mit unserer IT machen. Grundsätzlich muss man sagen dass vor mir die Firma ohne DC funktioniert hat (vor über 3 Jahren) - jedoch wollten die vorigen IT-Leute einen DC machen. Das kam irgendwie nie Zustande. DC wurde eingeführt da die Administration der Workstations (meistens kleine Updates, Zugangssoftware zum RZ) mühsam war. Mehr war zu dem Zeitpunkt nicht dahinter. Unsere Firma ist eigentlich RDS Host basiert, da arbeiten wir in RZ in DE (ganz andere Abteilung als Hosting, aber die selbe Firma). Im Endeffekt macht DC nichts mehr als User-Auth, ein paar GPOs und das war's eigentlich. Die GPOs sind dafür da Usern lokale Admin Rechte zu vergeben, einige Registry-Keys zu verteilen, aber nichts was das tägliche Geschäft brechen würde, würden alle DCs absolut ausfallen. Dann könnte man noch immer mit dem lokalen Admin einsteigen, und sich wieder mit RDS verbinden. So, einerseits wäre es dann mühsam wieder alles aufzubauen, aber man muss auch von der anderen Seite verstehen, dass auch ein totaler Ausfall zwar mühsam wäre, aber nichts was die Ressourcen blockieren würde. Es sind bei uns auch keine lokalen Shares vorhanden, keine Roaming Profiles usw. Bald wird eine NAS vorhanden sein, die dann die Images, Backups einiger ext. Platten und paar Rechner trägt, aber das war's schon. Und genau so ist es: ich habe ziemlich die freie Hand, sogar vom Chef persönlich. Ich soll die Sache besten Gewissens machen, und dafür dass wir keine Ausfallzeiten hatten (von die "Probleme" muss ja keiner wirklich was wissen...), habe ich heute ein Klopfen beim Meeting bekommen, lol... Gerne spielte ich da Mäuschen und schaute mir das selbst hautnah an. Wäre ich früher mal von so etwas betroffen gewesen, ich hätte wohl viel gelernt dabei. Ja, und das ist natürlich ein Vorteil daraus. Dadurch dass ich zwar vorsichtig bin, aber auch probieren kann, lerne ich viel glaube ich, und wenn was nicht geht, wie die Probleme vorher, muss ich sie ja lösen. Die Analyse und Forschung bringen einiges an Erfahrung - die ich auch leider auch nicht wirklich von wem anderen sammeln kann - ich bin sozusagen die höchste IT-Stelle im Unternehmen (außer halt die Oberfuzzis im RZ, versteht sich, mit denen ich nicht viel Kontakt habe). Ich kann mich nur immer wieder für die Hilfestellungen bedanken, es ist echt toll, und bringt mir sehr viel bei - nur Bücher lesen und Videos schauen bringt alleine nicht viel. bearbeitet 19. Mai 2017 von kosta88 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. Mai 2017 Melden Teilen Geschrieben 19. Mai 2017 (bearbeitet) nur Bücher lesen und Videos schauen bringt alleine nicht viel. Well, Bücher habe ich schon als recht hilfreich erlebt, als Nachschlagewerk und auch als Schrittwerk. Ich ging mit dem Buch weg aus der IT-Hölle auf den Balkon, der Wind blies mir den Kopf frei zum Lesen. -Danke Stefan Warnke für die Bücher- Gruppenrichtlinien wirklich verstehen lernte ich per Webcast hier am Board von Daniel Melanchton. -Danke Daniel, danke Tom und Nail für die Organisation hier- Wesentlich ist aber das Kennen der Grundlagen, da danke ich auch der Netzmafia. - Danke Prof. Jürgen Plate und Mitverschworene- Ich hatte die Möglichkeit zul experimentieren, konnte das dann erst in Schulungssystem umsetzen. Für Window 2000 Server und Workstation reservierten wir uns über die Ferien einen Raum mit 20 Rechnern NT 4.0, die machten wir platt. Nach den Ferien wurde mit 2000 unterrichtet. Wesentlich waren die Experimente mit der Domäne, den Controllern, den Vertrauenstellungen. Wir hatten mehrere Bücher, die wurden durchgeackert und jeder Schritt verglichen und nachgebaut. Das gab Handlungssicherheit. -Danke Stefan Schwarze für die Begleitung- Natürlich kam da ein Sonderfall wie der hiesige nicht vor. Irgendwo hatte ich das mit NAT n:n schon mal gelesen, wahrscheinlich bei Networking, möglicherweise bei Netzmafia oder einem HP whitepaper. Es dauerte schon eine Weile bis es irgendwo leise klingelte. Gemacht hatte ich das aber nie. bearbeitet 19. Mai 2017 von lefg Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 19. Mai 2017 Melden Teilen Geschrieben 19. Mai 2017 Die GPOs sind dafür da Usern lokale Admin Rechte zu vergeben, einige Registry-Keys zu verteilen, aber nichts was das tägliche Geschäft brechen würde, würden alle DCs absolut ausfallen. Dann könnte man noch immer mit dem lokalen Admin einsteigen, und sich wieder mit RDS verbinden. Man muss bei euch lokaler Admin sein um einen RDS-Client zu starten? Ich hoffe einfach das mir nur Informationen fehlen und es dafür einen echt guten Grund gibt... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 19. Mai 2017 Melden Teilen Geschrieben 19. Mai 2017 (bearbeitet) Benutzer mit "Adminrechten", also in einer Sicherheitsgruppe der Administratoren? Warum? bearbeitet 19. Mai 2017 von lefg Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 20. Mai 2017 Autor Melden Teilen Geschrieben 20. Mai 2017 (bearbeitet) Weil derzeit unsere Struktur es nicht erlaubt, dass ich den Benutzern die Installationsmöglichkeit komplett wegnehme. Es ist nie gewährleistet dass jemand für die Installation von irgendetwas vor Ort ist, und ich bei einem Kundentermin bin, daher bekommen nur gewisse Benutzer (nicht alle wohl gemerkt) die Admin Rechte, und zwar die, wo es wahrscheinlich ist, dass irgendwas von unserer Software ein Mitarbeiter sich installieren muss. Es ist für unsere Software notwendig und empfohlen die Admin-Rechte für die Installation zu haben. Diese Benutzer sind in der lokalen "Administratoren" Gruppe, nicht in der Domänen-Sicherheitsgruppe (wird verteilt mittels Restricted Groups in GPOs). Was mir aber nutzen würde, wenn ich über GPO die Gruppenzugehörigkeit pro Rechner begrenzen könnte. Aber ich wüsste keinen Weg das relativ einfach zu machen. Wenn Ideen, bitte. Übrigens, die Konfiguration von 3 DCs ist derzeit komplett stabil und ohne Fehler (außer das ominöse DFSR Fehler). Dafür waren eigentlich nur zwei Sachen notwendig: Registry-Eintrag PublishAdresses und DC in RZ primärer DNS auf den einen von zwei lokalen DCs. Und alles ist gut. Kurzfristig OK Lösung. Bin ziemlich sicher jeden Tag im System, ein kurzer Check der Replikation kostet ja nicht viel Zeit. Bin nur noch wegen DHCP gespannt, wird interessant wie sich das als DHCP-Cluster verhält. bearbeitet 20. Mai 2017 von kosta88 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. Mai 2017 Melden Teilen Geschrieben 20. Mai 2017 (bearbeitet) Moin Ich kenn das natürlich mit der scheinbaren Notwendigkeit der Adminrechte für Benutzer, hatte das auch, für Lexware Finacial Office Pro, ich stellte dann fest, es reichte aus die Zugehörigkeit zur Gruppe der Hauptbenutzer, Später kam ich drauf, es reichte das Schreibrecht auf einen Ordner von Lexware oder auch nur auf eine bestimmte Datei. Das war auf jeden Fall besser als dem Benutzer im Betrieb Vollzuzgriff zuerlauben, und in dem Kontext des Benutzers auch einem Virus oder Maleware. Ob man für die Installation dem Benutzer nicht ein extra Konto dafür gibt? (außer das ominöse DFSR Fehler). Ist das ein Fehler oder ist das eine Warnung? Ist denn die DFSR installiert/aktiviert auf einem oder allen DC/Servern? Wofür DFSR notwendig, für andere Server, die Fileserver? bearbeitet 20. Mai 2017 von lefg Zitieren Link zu diesem Kommentar
kosta88 2 Geschrieben 20. Mai 2017 Autor Melden Teilen Geschrieben 20. Mai 2017 (bearbeitet) Ob man für die Installation dem Benutzer nicht ein extra Konto dafür gibt? Hm, wäre zu überlegen. Ist aus dem Sicherheitsaspekt ja wesentlich besser als Admin-Rechte lokal. Man muss auch so sehen: lokal gibt es kein Outlook, und surfen wenn schon dann sehr wenig. Und das kann ich auch mittels Firewall leicht, auch Clientbezogen, sperren. In der RDS Sitzung natürlich nicht, das steuert das RZ. Lokal ist wenn, dann nur Office (W/E/P) installiert, Programme von Adobe für das Marketing, und unsere Software. Aber ja, ich sehe wie ich das mit dem Installations-Admin machen könnte - konstruktiver Vorschlag, danke. Ist das ein Fehler oder ist das eine Warnung? Ist denn die DFSR installiert/aktiviert auf einem oder allen DC/Servern? Wofür DFSR notwendig, für andere Server, die Fileserver? Warnung, mit darauffolgenden OK, gleich in der nächsten Sekunde. DFS wird nicht genutzt, könnte genauso abdrehen. Und es passiert nur zwischen einem lokalen DC und RZ-DC, nicht zwischen den lokalen DCs. bearbeitet 20. Mai 2017 von kosta88 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.