Replikationsfehler nach erzwungenem Shutdown

[Marco31 33]

Hallo liebe Forengemeinde,

 

ich musste heute morgen einen meiner DC's (VM) abschalten nachdem eines des Updates von letzter Woche seit gestern in einer unendlich-Installation hing. Leider werden mir nach Neustart des Servers Replikationsprobleme angezeigt:

 

Verzeichnisserverdiagnose

Anfangssetup wird ausgefhrt:

   Der Homeserver wird gesucht...

   Homeserver = VMDOMCON1

   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgefhrt.

  
   Server wird getestet: Standardname-des-ersten-Standorts\VMDOMCON1

      Starting test: Connectivity

         ......................... VMDOMCON1 hat den Test Connectivity

         bestanden.

 

Prim„rtests werden ausgefhrt.

  
   Server wird getestet: Standardname-des-ersten-Standorts\VMDOMCON1

      Starting test: Advertising

         ......................... VMDOMCON1 hat den Test Advertising

         bestanden.

      Starting test: FrsEvent

         ......................... VMDOMCON1 hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

         SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge

         haben.
         ......................... VMDOMCON1 hat den Test DFSREvent bestanden.

      Starting test: SysVolCheck

         ......................... VMDOMCON1 hat den Test SysVolCheck

         bestanden.

      Starting test: KccEvent

         ......................... VMDOMCON1 hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders

         ......................... VMDOMCON1 hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount

         ......................... VMDOMCON1 hat den Test MachineAccount

         bestanden.

      Starting test: NCSecDesc

         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

            Replicating Directory Changes In Filtered Set
         Zugriffsrechte fr den Namenskontext:

         DC=ForestDnsZones,DC=domain,DC=lokal
         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine

            Replicating Directory Changes In Filtered Set
         Zugriffsrechte fr den Namenskontext:

         DC=DomainDnsZones,DC=domain,DC=lokal
         ......................... VMDOMCON1 hat den Test NCSecDesc nicht

         bestanden.

      Starting test: NetLogons

         ......................... VMDOMCON1 hat den Test NetLogons bestanden.

      Starting test: ObjectsReplicated

         ......................... VMDOMCON1 hat den Test ObjectsReplicated

         bestanden.

      Starting test: Replications

         ......................... VMDOMCON1 hat den Test Replications

         bestanden.

      Starting test: RidManager

         ......................... VMDOMCON1 hat den Test RidManager bestanden.

      Starting test: Services

         ......................... VMDOMCON1 hat den Test Services bestanden.

      Starting test: SystemLog

         Fehler. Ereignis-ID: 0x80001778

            Erstellungszeitpunkt: 11/20/2017   07:50:51

            Ereigniszeichenfolge:

            Das System wurde zuvor am 20.11.2017 um 07:48:50 unerwartet heruntergefahren.

         Fehler. Ereignis-ID: 0x00000029

            Erstellungszeitpunkt: 11/20/2017   07:50:39

            Ereigniszeichenfolge:

            Das System wurde neu gestartet, ohne dass es zuvor ordnungsgem„á heruntergefahren wurde. Dieser Fehler kann auftreten, wenn das System nicht mehr reagiert hat oder abgestrzt ist oder die Stromzufuhr unerwartet unterbrochen wurde.

         Warnung. Ereignis-ID: 0x8000001D

            Erstellungszeitpunkt: 11/20/2017   07:50:58

            Ereigniszeichenfolge:

            Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat.

         Fehler. Ereignis-ID: 0xC00110F1

            Erstellungszeitpunkt: 11/20/2017   07:51:36

            Ereigniszeichenfolge:

            Der WINS-Server konnte die Sicherheitseinstellung fr schreibgeschtzte Vorg„nge nicht initialisieren.

         Warnung. Ereignis-ID: 0x8000001D

            Erstellungszeitpunkt: 11/20/2017   07:53:00

            Ereigniszeichenfolge:

            Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat.

         Fehler. Ereignis-ID: 0xC00110F1

            Erstellungszeitpunkt: 11/20/2017   07:53:37

            Ereigniszeichenfolge:

            Der WINS-Server konnte die Sicherheitseinstellung fr schreibgeschtzte Vorg„nge nicht initialisieren.

         Warnung. Ereignis-ID: 0x80000434

            Erstellungszeitpunkt: 11/20/2017   07:54:23

            Ereigniszeichenfolge:

            Der vom Benutzer domain\domadmin1 angegebene Grund fr das unerwartete Herunterfahren des Computers: Anderer Grund (nicht geplant)

         Warnung. Ereignis-ID: 0x8000001D

            Erstellungszeitpunkt: 11/20/2017   08:11:50

            Ereigniszeichenfolge:

            Vom Schlsselverteilungscenter (Key Distribution Center, KDC) kann kein passendes Zertifikat fr Smartcard-Anmeldungen gefunden werden, oder das KDC-Zertifikat konnte nicht verifiziert werden. Das Anmelden per Smartcard funktioniert m”glicherweise nicht ordnungsgem„á, so lange dieses Problem nicht behoben wurde. Verifizieren Sie zum Beheben dieses Problems entweder das vorhandene KDC-Zertifikat mithilfe von "certutil.exe", oder registrieren Sie sich fr ein neues KDC-Zertifikat.

         Fehler. Ereignis-ID: 0xC00110F1

            Erstellungszeitpunkt: 11/20/2017   08:12:28

            Ereigniszeichenfolge:

            Der WINS-Server konnte die Sicherheitseinstellung fr schreibgeschtzte Vorg„nge nicht initialisieren.

         ......................... VMDOMCON1 hat den Test SystemLog nicht

         bestanden.

      Starting test: VerifyReferences

         ......................... VMDOMCON1 hat den Test VerifyReferences

         bestanden.

  
  
   Partitionstests werden ausgefhrt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

  
   Partitionstests werden ausgefhrt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

  
   Partitionstests werden ausgefhrt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

  
   Partitionstests werden ausgefhrt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

  
   Partitionstests werden ausgefhrt auf: domain

      Starting test: CheckSDRefDom

         ......................... niederaula hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... niederaula hat den Test CrossRefValidation

         bestanden.

  
   Unternehmenstests werden ausgefhrt auf: domain.local

      Starting test: LocatorCheck

         ......................... domain.local hat den Test LocatorCheck

         bestanden.

      Starting test: Intersite

         ......................... domain.local hat den Test Intersite

         bestanden.

 

Der fehlerhafte DC hat die FSMO-Rollen. Wie wäre jetzt die beste Vorgehensweise? DC demoten und neu hochstufen oder komplett entsorgen?

Oder welche Möglichkeiten habe ich das evtl zu reparieren?

bearbeitet 20. November 2017 von Marco31

[Nobbyaushb 1.464]

Moin,

depromoten und neu hinzufügen wäre meine 1te Wahl.

 

Wenn es eine VM ist, eben neu installieren, dann bist du sicher, das die Inst sauber ist.

 

Meine Meinung.

 

;)

[Marco31 33]

Müsste ich vorher die FSMO-Rollen auf den noch laufenden DC übertragen oder sollte das automatisch laufen?

[NorbertFe 2.027]

Das musst du tun. Aber das ist ja nicht so schwer. Einfach das Konto des dcs löschen der raussoll, und dann die fragen durchlesen. ;)

[Marco31 33]

Ok. Der defekte DC ist 2008 R2, der funktionierende DC ein 2016er. Mache ich zuerst Metadata Cleanup mit NTDSUTIL wie in https://support.microsoft.com/de-de/help/216498/how-to-remove-data-in-active-directory-after-an-unsuccessful-domain-co oder lösche ich zuerst das Konto des DC's in AD Benutzer und Computer?

[NorbertFe 2.027]

Versuch doch erstmal letzteres. ;) Dann wirst du die "Fragen" schon sehen, die ich meinte, und den Rest kannst du dann entscheiden.

[Marco31 33]

Also, ich würde dann

1. defekten DC herunterstufen mit dcpromo

2. Computerkonto de defekten DC in AD Benutzer und Computer löschen (und damit auch die FSMO-Rollen übertragen)

3. Metadata Cleanup falls noch "Reste" des alten da sind.

 

Tut mir leide dass ich hier alles dreimal wiederhole, aber ich möchte Fehler vermeiden... ;)

[NorbertFe 2.027]

Nein, Schritt 1 kannst du dir sparen. Denn das funktioniert ja bei "defekten" DCs sowieso nicht mehr.

[djmaker 95]

Punkt 1 wäre nur relevant falls Du de Server noch irgendwie retten musst. Dann wäre dcpromo /forceremoval der Weg um das AD wegzuwerfen und den Srever noch online zu halten. Dann würdest Du direkt zu Schritt 3 gehen. Besser wäre es aber wohl de Server neu zu installieren.

[Marco31 33]

So, kleine Rückmeldung. Habe mit Punkt 2 den DC aus dem AD "entsorgt", hat auch alles gut geklappt. Am noch funktionierenden die FSMO-Rollen übernommen, lief soweit auch gut; nur der Schema-Master brauchte Überzeugungsarbeit ;-)

Neuer DC läuft seit heute morgen und repliziert. Wenn's so bleibt bin ich zufrieden :D

Vielen Dank an alle für die Tipps und Hilfen :thumb1: