AD Fehler wenn 2. Server down

[hoju 0]

Liebe Spezialisten Kollegen

Ich habe zwei DCs (Windows 2016 Server) welche eine Gesamtstruktur home.local verwalten. Letztens habe ich um die IP zu ändern Server2 (s-h-02) heruntergefahren und dabei festgestellt das Server1 (s-h-01) eine Fehlermeldung bringt, wenn ich die Gruppenrichtlinien Editor starte:

-----

Es kann keine Verbindung zum angegebenen Domänencontroller hergestellt werden.
Dies betrifft folgende Domänen in der Konsole:

Domöne: home.local

Fehler: Die angegebene Domäne ist nicht vorhanden.

------

Sobald ich den 2. Server starte funktioniert alles wieder.

Nun eine Verständnisfrage.

Ich dachte, weil die beiden Server ständig die DB replizieren, sollte Server1 weiterhin funktionieren  wenn der 2. down ist???

Besten Dank.

[lefg 276]

Moin

 

Ich schaue in die Ereignisprotokolle, führe DCDIAG aus.

 

Schaue die Parameter von DCDIAG /?, da gibt es einen der lässt nur Fehler ausgeben. Mit DCDIAG | clip geht die Ausgabe in die Zwischenablage.

 

Ist auf dem zuletzt hinzugefügten DC der Globale Katalog aktiviert?

 

Stimmt die DNS-Konfiguration auf beiden Geräten?

 

Im Web gibt es Artikel wie https://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pruefen/

 

 

bearbeitet 16. Dezember 2018 von lefg

[hoju 0]

Ja das stimmt, auf dem zuletzt hinzugefügten DC ist Globale Katalog aktiviert.

Ich hatte mal gelesen das man GC nur pro Standort aktivieren soll. Dachte aber nicht das es etwas aus macht. In diesem Fall schon? Ich werde auf dem letzten DC das deaktivieren sobald alles wieder funktioniert.

 

Du hast absolut Recht irgendetwas stimmt nicht gemäss dcdiag:

 

dcdiag_von_s-h-01

         Fehler beim šberprfen der LDAP- und RPC-Konnektivit„t. šberprfen Sie die Firewalleinstellungen.

         ......................... Der Test Connectivity fr S-H-02 ist fehlgeschlagen.

         Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse

         vorhanden. Fehler bei der SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge haben.
         ......................... Der Test DFSREvent fr S-H-01 ist fehlgeschlagen.

         [S-H-02] DsBindWithSpnEx()-Fehler 1722,

         Der RPC-Server ist nicht verfgbar..
         Achtung: S-H-02 ist Domain Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.

         Achtung: S-H-02 ist Domain Owner, reagiert jedoch nicht auf die LDAP-Bindung.

         Achtung: S-H-02 ist PDC Owner, reagiert jedoch nicht auf die DS-RPC-Bindung.

         Achtung: S-H-02 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung.

         ......................... Der Test KnowsOfRoleHolders fr S-H-01 ist fehlgeschlagen.

         [S-H-01] Die Anmeldeinformationen berechtigen nicht zum Ausfhren dieses Vorgangs.

         Das fr diesen Test verwendete Konto muss fr die Dom„ne dieses

         Computers ber Netwerkanmelderechte verfgen.

         ......................... Der Test NetLogons fr S-H-01 ist fehlgeschlagen.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: DC=ForestDnsZones,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1256):

            Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

            

            Auftreten des Fehlers: 2018-12-16 14:55:09.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: CN=Schema,CN=Configuration,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1722):

            Der RPC-Server ist nicht verfgbar.

            Auftreten des Fehlers: 2018-12-16 14:55:13.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

            Die Quelle ist weiterhin nicht verfgbar. šberprfen Sie den Computer.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: CN=Configuration,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1722):

            Der RPC-Server ist nicht verfgbar.

            Auftreten des Fehlers: 2018-12-16 14:55:11.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

            Die Quelle ist weiterhin nicht verfgbar. šberprfen Sie den Computer.

         ......................... Der Test Replications fr S-H-01 ist fehlgeschlagen.

            Der Dienst NTDS auf S-H-01 konnte nicht ge”ffnet werden. Fehler: 0x5 "Zugriff verweigert"

         ......................... Der Test Services fr S-H-01 ist fehlgeschlagen.

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:03:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:03:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:03:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:03:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:13:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:13:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:13:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         Fehler. Ereignis-ID: 0x0000272C

            Erstellungszeitpunkt: 12/16/2018   15:13:53

            Ereigniszeichenfolge:

            DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "s-h-02.home.local" kommunizieren; angefordert von PID      a20 (C:\Windows\system32\ServerManager.exe).

         ......................... Der Test SystemLog fr S-H-01 ist fehlgeschlagen.

         ......................... Der Test CheckSDRefDom fr ForestDnsZones ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr ForestDnsZones ist fehlgeschlagen.

         ......................... Der Test CheckSDRefDom fr DomainDnsZones ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr DomainDnsZones ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr Schema ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr Configuration ist fehlgeschlagen.

         ......................... Der Test CrossRefValidation fr home ist fehlgeschlagen.

 

dcdiag_von_s-h-02

         Das Ereignisprotokoll DFS Replication auf dem Server s-h-01.home.local konnte nicht abgefragt werden. Fehler:

         0x6ba "Der RPC-Server ist nicht verfgbar."

         ......................... Der Test DFSREvent fr S-H-01 ist fehlgeschlagen.

         Das Ereignisprotokoll Directory Service auf dem Server s-h-01.home.local konnte nicht abgefragt werden.

         Fehler: 0x6ba "Der RPC-Server ist nicht verfgbar."

         ......................... Der Test KccEvent fr S-H-01 ist fehlgeschlagen.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: DC=ForestDnsZones,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1256):

            Der Remotecomputer ist nicht verfgbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

            

            Auftreten des Fehlers: 2018-12-16 14:55:09.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: CN=Schema,CN=Configuration,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1722):

            Der RPC-Server ist nicht verfgbar.

            Auftreten des Fehlers: 2018-12-16 14:55:13.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

            Die Quelle S-H-02 reagiert jetzt.

         [Replications Check,S-H-01] Bei einer krzlich ausgefhrten Replikation ist ein Fehler aufgetreten:

            Von S-H-02 nach S-H-01

            Namenskontext: CN=Configuration,DC=home,DC=local

            Beim Replizieren ist ein Fehler aufgetreten (1722):

            Der RPC-Server ist nicht verfgbar.

            Auftreten des Fehlers: 2018-12-16 14:55:11.

            Letzter erfolgreicher Vorgang: 2018-12-16 13:55:07.

            Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.

            Die Quelle S-H-02 reagiert jetzt.

         ......................... Der Test Replications fr S-H-01 ist fehlgeschlagen.

         Das Ereignisprotokoll System auf dem Server s-h-01.home.local konnte nicht abgefragt werden. Fehler: 0x6ba

         "Der RPC-Server ist nicht verfgbar."

         ......................... Der Test SystemLog fr S-H-01 ist fehlgeschlagen.

         [S-H-02] Die Anmeldeinformationen berechtigen nicht zum Ausfhren dieses Vorgangs.

         Das fr diesen Test verwendete Konto muss fr die Dom„ne dieses

         Computers ber Netwerkanmelderechte verfgen.

         ......................... Der Test NetLogons fr S-H-02 ist fehlgeschlagen.

         [Replikationsberprfung, S-H-02] Fehler bei DsReplicaGetInfo(PENDING_OPS, NULL): 0x2105

         "Der Replikationszugriff wurde verweigert."

         ......................... Der Test Replications fr S-H-02 ist fehlgeschlagen.

            Der Dienst NTDS auf S-H-02 konnte nicht ge”ffnet werden. Fehler: 0x5 "Zugriff verweigert"

         ......................... Der Test Services fr S-H-02 ist fehlgeschlagen.

 

Beide Server sind jedoch mit dem Hostnamen erreichbar.

nslookup auf beiden geht auch.

verstehe ich nicht

[NorbertFe 2.027]

GC ist jeder dc in der Domäne. Wenn das nicht so ist, weiß man üblicherweise warum. ;) und die gpmc verbindet sich per default immer zum pdc Emulator. Wenn du den runterfährst ist natürlich logisch, dass da eine Meldung kommt. Da steht dann auch drin, warum und weshalb.

[hoju 0]

NerbertFe, danke für die Info. Ich dachte das der erste DC diese Rolle übernimmt. Aber wie du vermutet hast ist der Betriebsmaster für PDC der s-h-02. Deswegen kann ich keine GPO auf s-h-01 öffnen.

Ich werde das ändern Betriebsmaster PDC s-h-01.

Seit ich die IPs der Server geändert habe bekomme ich immer folgenden Fehler:

"Der DNS-Server hat einen kritischen Active Directory-Fehler ermittelt"

Ich verstehe nicht wieso. Die beiden Server können sich pingen, Hostnamen werden korrekt aufgelöst.

IP geändert

von
s-h-01.home.local
192.168.1.41/24 auf 144.200.100.21/24

und von
s-h-02.home.local
192.168.1.42/24 auf 144.200.100.22./24

und anschliessend auf dem DNS ReverslookupZone erstellt für 144.200.100

bearbeitet 16. Dezember 2018 von hoju

[Sunny61 806]

Weshalb vergibst Du öffentlich IP-Adressen? Bleib doch bei den privaten IPs. https://de.wikipedia.org/wiki/Private_IP-Adresse

 

Zusätzlich kannst Du dir die Artikel bei Nils durchlesen: https://www.faq-o-matic.net/?s=betriebsmaster

 

[hoju 0]

Ich bin am üben, deswegen die öffentlichen IPs. Haben den Hostanteil verkleinert.

Es spricht doch nichts dagegen? Dadurch kommt man ja nicht einfacher in mein Netzwerk? Die Rechner liegen ja hinter der Firewall.

bearbeitet 16. Dezember 2018 von hoju

[lefg 276]

vor 3 Stunden schrieb hoju:

Ja das stimmt, auf dem zuletzt hinzugefügten DC ist Globale Katalog aktiviert.

Ich hatte mal gelesen das man GC nur pro Standort aktivieren soll. Dachte aber nicht das es etwas aus macht. In diesem Fall schon? Ich werde auf dem letzten DC das deaktivieren sobald alles wieder funktioniert.

 

Der GC soll auf beiden DC aktiviert sein.

[Sunny61 806]

vor 1 Minute schrieb hoju:

Ich bin am üben, deswegen die öffentlichen IPs. Haben den Hostanteil verkleinert.

Es spricht doch nichts dagegen? Dadurch kommt man ja nicht einfacher in mein Netzwerk? Die Rechner liegen ja hinter der Firewall.

Es ist nicht die Realität, deshalb spricht etwas dagegen. Und in der Realität ändert man auch nicht einfach so die IP eines DC und den IP Bereich. Sowas plant man und liest sich Wissen an.

 

Wenn Du z.b. eine Website aufrufen willst, die zufällig die externe IP hat, kann sie dein DC dir nicht liefern.

[lefg 276]

Auch wenn Du beim Üben bist: Ich rate in kleinen Netzwerken zu wählen 192.168.0.x/255.255.255.0.

 

Beispiel:

 

192.168.0.1 Intenetrouter

192.168.0.11 DC

192.168.0.12 DC

192.168.0.21 Drucker

192.168.0.31 1.Client

 

Natürlich geht es auch anders.

 

 

[hoju 0]

Ich habe versucht mir Wissen anzueignen. Habe etwa 6h recherchiert.

Dann habe ich mit ein Visio ein Netzwerkplan erstellt vorher nachher und gemäss Foren und Videos (https://www.youtube.com/watch?v=0V79LzzOXHM) checkliste erstellt.

Natürlich gab es gewisse die sagten „Never change a running system“.

Andere meinten jedoch das nichts dagegen spricht die IP zu ändern.

Ihr habt Recht, ich werde alles rückgängig machen und hoffen das alles wieder funktioniert.

[mba 133]

vor 18 Minuten schrieb lefg:

Auch wenn Du beim Üben bist: Ich rate in kleinen Netzwerken zu wählen 192.168.0.x/255.255.255.0.

 

Beispiel:

 

192.168.0.1 Intenetrouter

 

 

Viel Spaß wenn VPN dazukommt

 

Lieber ein "krummes" IP-Netz nehmen

[lefg 276]

vor 43 Minuten schrieb hoju:

Ihr habt Recht, ich werde alles rückgängig machen und hoffen das alles wieder funktioniert.

 

Wenn es denn wieder funktioniert, auch dcdiag keine wesentlichen Fehler mehr ausgibt, dann kann man experementieren, dabei Notizen machen, dann weiss man was gemacht, kann leicht zurückgehen.

 

[Sunny61 806]

vor 1 Stunde schrieb hoju:

Ich habe versucht mir Wissen anzueignen. Habe etwa 6h recherchiert.

 

Dann habe ich mit ein Visio ein Netzwerkplan erstellt vorher nachher und gemäss Foren und Videos (https://www.youtube.com/watch?v=0V79LzzOXHM) checkliste erstellt.

 

Natürlich gab es gewisse die sagten „Never change a running system“.

 

Andere meinten jedoch das nichts dagegen spricht die IP zu ändern.

 

Ihr habt Recht, ich werde alles rückgängig machen und hoffen das alles wieder funktioniert.

 

Wo genau hast Du denn recherchiert? Nur youtube Videos geschaut?

 

Und ja, man kann IP Bereiche und IP Adressen der DCs ändern, wenn man weiß was man tut ist das auch kein Problem. Aber dazu übst Du ja.

 

Wenn wieder alles läuft, fang einfach von vorne an. Aber nimm diesmal einen privaten Adressbereich. Vorher planen wo Du in welcher Reihenfolge die Adressen ändern musst/willst.

 

WINS hast Du sicher nicht mehr im Einsatz, aber für den Rest könnte der Artikel helfen: https://blogs.technet.microsoft.com/ramazancan/2007/01/31/windows-2000-ip-adresse-von-domain-controller-andern/

[NilsK 2.930]

Moin,

 

sechs Stunden Recherche sind zum Aufbau einer AD-Struktur ja nicht besonders viel. Insbesondere, wenn man sich auch gleich noch mit Spezialitäten wie Änderungen in der Infrastruktur beschäftigt. Nimm dir mehr Zeit, wenn du einen Lernerfolg haben willst. Und fang nicht gleich mit den großen Dingen an.

 

Die Fehlermeldungen, die du erhalten hast, sind in der Situation alle normal und erwartbar. Im Kern sagen sie alle nur aus, dass der eine DC nicht erreichbar ist (natürlich nicht, er ist ja auch aus). Sofern das AD ansonsten korrekt konfiguriert ist, würden Clients es nicht bemerken, wenn einer der DCs nicht da ist. Der Gruppenrichtlinien-Editor ist da ein Sonderfall, weil er von sich aus immer versucht, auf den PDC-Emulator zuzugreifen. Sagt man ihm, dass er einen anderen DC nehmen soll, dann kann er auch arbeiten. Die zitierten Fehlermeldungen deuten alle nicht auf ein grundlegendes Problem hin.

 

Das Ändern der IP-Adresse eines DCs erfordert in den meisten Umgebungen keine große Downtime und auch keinen Neustart. Trotzdem ist das natürlich eine Änderung, die man in einem produktiven Netzwerk nicht "mal eben" machen würde.

 

In der Regel ist jeder DC auch GC. Die FSMO-Rollen sind für den Normalbetrieb nahezu egal, man braucht sie nur in speziellen Situationen. Wichtig ist vor allem die korrekte DNS-Konfiguration.

 

[Was muss ich beim DNS für Active Directory beachten? (Reloaded) | faq-o-matic.net]
https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

[AD: Betriebsmaster-Ausfall – was tun? | faq-o-matic.net]
https://www.faq-o-matic.net/2010/09/09/ad-betriebsmaster-ausfall-was-tun/

 

 

Gruß, Nils