HeizungAuf5 13 Geschrieben 16. Oktober 2021 Melden Teilen Geschrieben 16. Oktober 2021 Hallo zusammen, erstmal ja, mir ich für den Titel wirklich nichts besseres eingefallen, wenn jemand Vorschläge hat, gerne her damit . Zum eigentlichen Problem: Wir haben in einer Infrastruktur 2 DCs (Beide Server 2019). Wenn beide Server online sind, funktioniert auch alles bestens und ich kann das AD von beiden Servern verwalten. Fahre ich einen DC herunter funktioniert das auch noch wunderbar, dass der andere DC das im Alleingang macht. Alles kein Problem. Allerdings funktioniert es anderherum nicht. Fahre ich den 1. DC herunter, während der Zweite läuft ist nach ca. 5 Minuten, oder nach einem Neustart des verbleibenden DCs (Wozu dieser dann auch knappe 10 Minuten braucht - normal ist ca. eine) Schicht im Schacht. Beim versuch die AD Verwaltung aufzurufen bekomme ich die Fehlermeldung: Ist der andere DC wieder erreichbar, funktioniert wieder alles ohne Probleme. Zur Vereinfachung kurz eine Übersicht, was klappt und was nicht: Es gibt in dem Netz 2 DCs (DC01 und DC03; FMSO Rollen sind bei DC03). DC01 online + DC03 online -> Alles ok DC01 online + DC03 offline -> Alles ok DC01 offline + DC03 online -> oben genanntes Fehlerbild Verwunderlich ist nur, dass sämtliche Anzeigen für eine AD Replikation (in meinen Augen) gut aussehen. Sind beide DCs online, werden auch beide in der AD Konsole als online angezeigt. Auch der "fehlerhafte" DC03 Ebenso läuft ein "repadmin /syncall" ohne Probleme durch (auf beiden DCs). Die Problematik hatten wir so 1:1 schon mit dem DC02. Damals haben wir noch eine "kaputte" Windows Installation im Verdacht, weswegen es nun den DC03 gibt. Hat von euch jemand eine Idee? Danke und Grüße! Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 16. Oktober 2021 Melden Teilen Geschrieben 16. Oktober 2021 Wie sind denn die FSMO Rollen verteilt? Zitat netdom query fsmo Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Oktober 2021 Melden Teilen Geschrieben 16. Oktober 2021 Fsmo sind egal. Interessanter ist DNS auf beiden dcs und nicht nee kreuz bei beiden in den Netzwerkeinstellungen? Welche Fehler stehen denn im eventlog der dcs? Interessant vor allem dfsr und Verzeichnisdienst. vor 4 Minuten schrieb HeizungAuf5: DC02. Damals haben wir noch eine "kaputte" Windows Installation im Verdacht, weswegen es nun den DC03 gibt. So einen Verdacht hatte ich bei dem Problem noch nie. ;) Zitieren Link zu diesem Kommentar
HeizungAuf5 13 Geschrieben 16. Oktober 2021 Autor Melden Teilen Geschrieben 16. Oktober 2021 vor 3 Minuten schrieb v-rtc: Wie sind denn die FSMO Rollen verteilt? vor 7 Minuten schrieb HeizungAuf5: FMSO Rollen sind bei DC03 Schemamaster DC03.DOMAIN.local Domänennamen-Master DC03.DOMAIN.local PDC DC03.DOMAIN.local RID-Pool-Manager DC03.DOMAIN.local Infrastrukturmaster DC03.DOMAIN.local vor 4 Minuten schrieb NorbertFe: Interessanter ist DNS auf beiden dcs und nicht nee kreuz bei beiden in den Netzwerkeinstellungen? Als DNS Server sind bei den beiden DCs jeweils als primärer Server sich selber (127.0.0.1) und als sekundärer DNS die IP des jeweils anderen DCs. vor 5 Minuten schrieb NorbertFe: Welche Fehler stehen denn im eventlog der dcs? Interessant vor allem dfsr und Verzeichnisdienst. In den Logs zum DFSR finde ich rellativ häufig das Ereignis 5014, dass er das "Gegenüber" nicht erreichen kann. Ist ja aber logisch weil aus. Der DFS-Replikationsdienst beendet die Kommunikation mit Partner DC01 für Replikationsgruppe Domain System Volume aufgrund eines Fehlers. Der Dienst wird regelmäßig versuchen, die Verbindung wiederherzustellen. Weitere Informationen: Fehler: 1722 (Der RPC-Server ist nicht verfügbar.) Verbindungs-ID: DF021ADE-C732-4ED0-AADE-6295CBA0FCAC Replikationsgruppen-ID: 6E32825A-2D30-437E-8F1E-491296DEE836 Ein paar Sekunden später habe ich das Ereignis 4612 Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und wartet darauf, die erste Replikation auszuführen. Der replizierte Ordner bleibt im ersten Synchronisierungsstatus, bis er mit seinem Partner DC01.DOMAIN.local repliziert wurde. Wenn der Server zu einem Domänencontroller heraufgestuft wurde, führt der Domänencontroller keine Ankündigung durch und dient als Domänencontroller, bis dieses Problem behoben wurde. Dies kann darauf zurückzuführen sein, dass der angegebene Partner sich selbst in einem ersten Synchronisierungsstatus befindet. Eine weitere mögliche Ursache ist, dass auf diesem Server oder beim Synchronisierungspartner Zugriffsverletzungen aufgetreten sind. Wenn dieses Ereignis bei der Migration von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist, werden die Änderungen nicht nach außen repliziert, bis dieses Problem behoben wurde. Dies kann dazu führen, dass der SYSVOL-Ordner auf diesem Server nicht mehr mit anderen Domänencontrollern synchron ist. Weitere Informationen: Name des replizierten Ordners: SYSVOL Share ID des replizierten Ordners: 7E67AD4E-520F-451B-8C69-BFE867F3DF0E Replikationsgruppenname: Domain System Volume Replikationsgruppen-ID: E499178F-DCF6-48D5-813B-054E84E3D4C7 Mitglieds-ID: F0F7BCD8-CFE4-495D-B43A-42CE2D10807F Schreibgeschützt: 0 Danach gibt es noch das Ereignis 5008 Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "DC01" für Replikationsgruppe "Domain System Volume". Dieser Fehler kann auftreten, wenn der Host nicht erreichbar ist oder der DFS-Replikationsdienst nicht auf dem Server ausgeführt wird. Partner-DNS-Adresse: DC01.DOMAIN.local Optionale Daten, falls verfügbar: Partner-WINS-Adresse: DC01 Partner-IP-Adresse: 192.168.15.10 Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen. Weitere Informationen: Fehler: 1722 (Der RPC-Server ist nicht verfügbar.) Verbindungs-ID: E499178F-DCF6-48D5-813B-054E84E3D4C7 Replikationsgruppen-ID: 6E32825A-2D30-437E-8F1E-491296DEE836 Für die Directory Services finde ich einen Fehler, dass der den globalen Katalog nicht finden kann (ID 1126) Die Active Directory-Domänendienste konnten keine Verbindung mit dem globalen Katalog herstellen. Zusätzliche Daten Fehlerwert: 1355 Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Interne ID: 320137b Benutzeraktion Überprüfen Sie, ob der globale Katalog in der Gesamtstruktur verfügbar ist und von diesem Domänencontroller erreicht werden kann. Zur Diagnose dieses Problems können Sie das Hilfsprogramm "nltest" verwenden. Mehr Gedanken mache ich mir hier um die Warnung 2092 Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle. Vorgänge, die eine Kontaktaufnahme mit dem FSMO-Betriebsmaster erfordern, sind nicht erfolgreich, solange dieser Zustand nicht behoben wird. FSMO-Rolle: DC=DOMAIN,DC=local Benutzeraktion: 1. Die ursprüngliche Synchronisierung ist die erste Replikation, die von dem System beim Start durchgeführt wird. Das Scheitern der ursprünglichen Synchronisierung ist eventuell die Ursache dafür, dass die FSMO-Rolle nicht verifiziert werden kann. Dieser Prozess wird im KB-Artikel 305476 erklärt. 2. Dieser Server verfügt über mindestens einen Replikationspartner, und die Replikation scheitert bei allen Partnern. Führen Sie den Befehl "REPADMIN /showrepl" aus, um die Replikationsfehler anzuzeigen. Beheben Sie den fraglichen Fehler. Es sind eventuell Probleme mit der IP-Konnektivität, der DNS-Namenauflösung oder mit der Sicherheitsauthentifizierung aufgetreten, die die erfolgreiche Replikation verhindern. 3. In dem Ausnahmefall, dass alle Replikationspartner voraussichtlich offline sind (z. B. zu Wartungszwecken oder zur Notfallwiederherstellung), können Sie die Verifizierung der Rolle erzwingen. Führen Sie NTDSUTIL.EXE aus, um die Rolle für den gleichen Server zu übernehmen. Dieser Vorgang sollte entsprechend den Schritten, die in den KB-Artikeln 255504 und 324801 unter "http://support.microsoft.com" aufgelistet sind, durchgeführt werden. Die folgenden Vorgänge werden eventuell beeinträchtigt: Schema: Sie können das Schema für diese Gesamtstruktur nicht mehr modifizieren. Domänenbenennung: Sie können keine Domänen zu dieser Gesamtstruktur hinzufügen bzw. daraus entfernen. PDC: Sie können auf dem primären Domänencontroller keine weiteren Vorgänge durchführen, wie z.B. die Aktualisierung von Gruppenrichtlinien oder das Zurücksetzen von Kennwörtern für nicht in Active Directory Lightweight Directory Services vorhandene Konten. RID: Sie können keine neuen Sicherheits-IDs für neue Benutzer- oder Computerkonten bzw. für Sicherheitsgruppen zuweisen. Infrastruktur: Domänenübergreifende Namensverweise, wie z.B. universelle Gruppenmitgliedschaften, werden nicht ordnungsgemäß aktualisiert, wenn das Zielobjekt entfernt oder umbenannt wird. Grüße! Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Oktober 2021 Melden Teilen Geschrieben 16. Oktober 2021 Sprich dein Problem ist, dass der zweite dc03 sich noch nie korrekt synchronisiert hat. Das solltest du beheben und dann sind deine Probleme auch weg. Die 127.0.0.1 würde ich nicht als primären eintragen. Nimm mal bei beiden vorerst den funktionierenden dc als primären. Zitieren Link zu diesem Kommentar
HeizungAuf5 13 Geschrieben 16. Oktober 2021 Autor Melden Teilen Geschrieben 16. Oktober 2021 vor 13 Minuten schrieb NorbertFe: Die 127.0.0.1 würde ich nicht als primären eintragen. Nimm mal bei beiden vorerst den funktionierenden dc als primären. Done. Hab jetzt bei beiden als Primären den "guten" DC01 eingetragen und sekundär den DC03. vor 14 Minuten schrieb NorbertFe: dein Problem ist, dass der zweite dc03 sich noch nie korrekt synchronisiert hat Das ist auch genau das, wo ich auch keinen grünen Zweig komme. Die Einrichtung (Höherstufung) lief ohne Probleme durch und auch nen "repadmin /syncall" erklärt mir, dass alles tutti sei. Selbst wenn ich mit einem "repadmin /showrepl" den letzten Sync überprüfe, krieg ich auch keine Fehler zurück (auf dem DC03). Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführt Default-First-Site-Name\DC03 DSA-Optionen: IS_GC Standortoptionen: (none) DSA-Objekt-GUID: 97ebcb50-99a7-43cc-9be5-73d1bc32f403 DSA-Aufrufkennung: 089ba02e-f89d-4582-8229-2db7c5d0620b ==== EINGEHENDE NACHBARN===================================== DC=DOMAIN,DC=local Default-First-Site-Name\DC01 über RPC DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f Letzter Versuch am 2021-10-16 15:31:31 war erfolgreich. CN=Configuration,DC=DOMAIN,DC=local Default-First-Site-Name\DC01 über RPC DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f Letzter Versuch am 2021-10-16 15:37:22 war erfolgreich. CN=Schema,CN=Configuration,DC=DOMAIN,DC=local Default-First-Site-Name\DC01 über RPC DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f Letzter Versuch am 2021-10-16 15:23:12 ist fehlgeschlagen, Ergebnis 8524 (0x214c): Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden. 1 aufeinander folgende Fehler. Letzte Erfolg um 2021-10-16 14:49:34. DC=ForestDnsZones,DC=DOMAIN,DC=local Default-First-Site-Name\DC01 über RPC DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f Letzter Versuch am 2021-10-16 15:31:25 war erfolgreich. DC=DomainDnsZones,DC=DOMAIN,DC=local Default-First-Site-Name\DC01 über RPC DSA-Objekt-GUID: d46e8e5a-abc8-4815-af84-08b28fd3cc6f Letzter Versuch am 2021-10-16 15:32:35 war erfolgreich. Quelle: Default-First-Site-Name\DC01 ******* 1 AUFEINANDERFOLGENDE FEHLER seit 2021-10-16 15:19:30 Letzter Fehler: 8524 (0x214c): Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden. Der Fehler um 15:19 dürfte gewesen sein, als ich testweise den DC01 nochmal runter gefahren hab. Gibt es eine Art "Richtig durchspühlen" Funktion, in der der DC03 seine komplette(!) Konfiguration und Replikation nochmal vom DC01 zieht? Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Oktober 2021 Melden Teilen Geschrieben 16. Oktober 2021 Hat der dc03 denn die netlogon und sysvol freigabe? 1 Zitieren Link zu diesem Kommentar
HeizungAuf5 13 Geschrieben 16. Oktober 2021 Autor Melden Teilen Geschrieben 16. Oktober 2021 (bearbeitet) vor 15 Minuten schrieb NorbertFe: Hat der dc03 denn die netlogon und sysvol freigabe? Binge. Hat er nicht. (Daran hab ich noch gar nicht gedacht, shame und so ^^) Ein "For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state" zeigt auf dem DC01 ist es mit dem Status 5 vorhanden und auf dem DC01 befindet es sich mit Status 2 noch in anfänglicher Syncronisation (Wohl seit über 2 Wochen, seit es den DC gibt.) bearbeitet 16. Oktober 2021 von HeizungAuf5 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Oktober 2021 Melden Teilen Geschrieben 16. Oktober 2021 Na dann los mal das Problem. ;) eigentlich sollten sich im eventlog der beiden dcs genug Fehler finden, anhand derer man die Lösung finden wird. Zitieren Link zu diesem Kommentar
HeizungAuf5 13 Geschrieben 16. Oktober 2021 Autor Melden Teilen Geschrieben 16. Oktober 2021 Sou, ich glaube ich habs ^^ Die Lösung des SysVol-Problems hat dann auch gleich die Problematik mit der AD-Verwaltung gelöst. An diejenigen, die durch die Suche auf dieses Thema gekommen sind: In diesem Video wird euch gut erklärt, wie ihr die Replikation reparieren könnt. Ca. 80% wusste ich noch so, aber mit einer "bestätigenden" Anleitung gehts doch deutlich einfacher. Danke Dir @NorbertFe! 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 16. Oktober 2021 Melden Teilen Geschrieben 16. Oktober 2021 Danke für die Rückmeldung. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.