Replizieren der DCs geht nicht

[win2k3 Beginner 10]

Hallo Leute,

ich bekomme keine Dateireplizierung mehr hin,auch AD lässt sich nicht mehr replizieren.

Ich habe nach einem Crash auf dem PDC und dem BDC Images aufgespielt.,seitdem geht das nicht mehr.

Alles andere läuft,ich komme auf beiden PCs noch an meine Gruppenrichtlinien.

Nur auf dem PDC habe ich Userenv durch die fehlerhafte Replizierung.

Wie kann ich nun von Hand dem PDC sagen,hey,der BDC IST der ,ffür den er sich ausgibt,nimm den an?

Das Resourcekit ist installiert.

Ich möchte jetzt nichts falsch machen,wie bekomme ich die User,die auf dem BDC noch richtig sind,auf den PDC und wie reden die beiden wieder miteinander?

Verwalten geht noch vom PDC aus,also ein wenig sprechen sie noch miteinander.

 

Wer kann mir helfen ?

[Velius 10]

Hi

 

PDC´s und BDC´s gibt´s seit W2K nicht mehr, du meinst wahrscheinlich die FSMO Rolle "PDC-Emulator"? Aber ist auch egal. Wie äussert sich der Fehler? Sind die beiden DB´s asynchron? Normalerweise kann man so was eh nicht ohne weiteres Feststellen, ausser der den du "PDC" nennst, ist komplett weg vom Netz.

 

Beschreibe deine Situation etwas genauer, ich kann mir da kein richtiges Bild davon machen.

[gr@mlin 10]

hi,

 

ich gehe jetzt mal von w2k/w2k3-umgebung aus (keine pdc, bdc - alle dc).

was sagen die ntds-settings in ad standorte- u. -dienste?

ansonsten kannst du hier ne neue verbindung (replikationspartner) erstellen.

poste mal die fehler aus dem/n ereignisprotokoll/en mit quelle und id. ich denke, da wird was anderes schuld sein.

 

gruss, gr@mlin

[win2k3 Beginner 10]

Umgebung sind 2 Win2k Server.

Das Ganze ist passiert,als einer der beiden,der BDC (Die Bezeichnung gibt es nach wie vor,es gibt auch nach wie vor einen Chef,den BDC oder MAster)bei einer Install hängen blieb.

Da blieb nur Reboot,danach hatte ich Userenv 1030 und 1058,als Images drauf auf beiden.

Das Problem wird wohl sein,das Image PDC war älter als das des PDCs.

Hier einige Logs (BDC)

Die Konsistenzüberprüfung (KCC) hat ermittelt, dass fortlaufende Versuche, eine Replikationsverbindung mit dem folgenden Domänencontroller herzustellen, immer wieder fehlgeschlagen sind.

 

Versuche:

2

Domänencontroller:

xxxxxxxx

Zeitraum (Minuten):

15771

 

Das Verbindungsobjekt für diesen Domänencontroller wird ignoriert, und eine neue temporäre Verbindung wird hergestellt, damit die Replikation fortgesetzt werden kann. Die temporäre Verbindung wird entfernt, sobald die Replikation mit diesem Domänencontroller wieder aufgenommen wird.

 

Zusätzliche Daten

Fehlerwert:

5 Zugriff verweigert

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

 

Hier noch eines vom PDC:

Active Directory konnte eine gegenseitige Authentifizierung mit dem Dienstprinzipalnamen (SPN) für den folgenden Domänencontroller nicht erstellen.

 

Domänencontroller:

74d9a63f-221b-xxxx.xxx.x.x

 

Der Aufruf wurde verweigert. Dies kann Auswirkungen auf die Kommunikation mit diesem Domänencontroller haben.

 

Zusätzliche Daten

Fehlerwert:

8419Das DSA-Objekt wurde nicht gefunden.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Weiß da jemand weiter?

[win2k3 Beginner 10]

achja,in den NTDS Settings ist NUR der Master drin,der BDC fehlt da,ich kann ihn zwar hinzufügen als Server,das bringt aber nichts.

[gr@mlin 10]

vielleicht kann dir repadmin noch helfen: http://support.microsoft.com/default.aspx?scid=kb;DE;232538

 

ansonsten: du könntest einen der beiden dcs herabstufen und dann neu als dc reinnehmen. dann den zweiten raus- und neu reinnehmen.

dann sollte der kcc die replikation auf jeden fall neu erstellen.

 

btw: wie kommst du auf pdc/bdc-konstellationen unter w2k?

 

gruss, gr@mlin

[big-lemon 10]

Original geschrieben von win2k3 Beginner

(Die Bezeichnung gibt es nach wie vor,es gibt auch nach wie vor einen Chef,den BDC oder MAster)

 

 

äh.... sorry.. nein... die bezeichnung PDC und BDC gibt es seit win2k server nicht mehr....

 

wie schon jemand erwähnt hat, gibt es nur noch DC....

 

nur so nebenbei...

 

gruss

 

chris

[win2k3 Beginner 10]

Ich meinte auch eher mit PDC und BDC ,daß Win2k3 sehr wohl noch unterscheidet ,mit Master und BDC

 

Mit dem rausnehmen aus der Domain,das geht nicht,er sagt,er ist nicht letzter DC und lässt sich nicht rausnehmen.

Die beiden reden ja teilweise auch miteinander,z.B: Verwaltung klappt noch,auch ping usw.

 

Wie komme ich den mit diesem Tool Repladmin klar?

 

Hat das mal jemand gemacht?

Ich verzeifle ein wenig,da es meine erste Win2k3 Domain ist,bisher nur NT 4 gemacht.

[gr@mlin 10]

repadmin /experthelp --> hilfe zur syntax

Mit dem rausnehmen aus der Domain,das geht nicht,er sagt,er ist nicht letzter DC und lässt sich nicht rausnehmen.

Hä?

[Velius 10]

Also die herkömmlichen Rollen Modelle von NT 4 gibt´s definitv nicht mehr, was es gibt, sind Rollen, die nur "ein" Controller gleichzeitig in einer Domäne oder der Gesamtstruktur übernehmen kann (Beispiel: Schemamaster). Solche Rollen können aber im Gegensatz zu NT 4.0 an andere Controller übergeben werden.

 

Ich weiss nicht, wie dass die anderen Members sehen, aber ich muss fast kapitulieren, denn da gibt es so vieles, was sich geändert hat seit NT 4.0....

 

 

Aber wenn ich das Logfile ansehe, und du sagst, dass beide Server sonst laufen, kann ich mir sehr gut ein DNS Problem vorstellen. Wie sieht´s den da aus??

[Velius 10]

Kann es ausserdem sein, das nur ein Server W2K (was jetzt, einmal W2k, einmal W2K3?? BITTE UM ANTWORT) ist, und die Domäne im gemischten Modus mit NT 4.0 BDC´s läuft??

[Konfus 10]

Hi,

 

disable mal das SMB Sigining auf beiden DC`s.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters

enablesecuritysignature => 0x0

requiresecuritysignature => 0x0

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters

enablesecuritysignature => 0x0

requiresecuritysignature => 0x0

 

Alternativ über die Default Domain Controllers Policy zu handlen( wenn Du Zugriff auf die GPO hast und nicht auch dort ein Access Denied bekommst):

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Digitally sign client communications (always)

Digitally sign client communications (when possible)

Digitally sign server communications (when possible)

Digitally sign server communications (always)

 

mfg

 

Konfus

[win2k3 Beginner 10]

@Velius,

ein DNS Problem wäre möglich,aber davon weiß ich zu wenig,um mir da zu helfen.Wir selbst hier haben keinen Zugriff auf unseren DNS Server,den wir für Internet benutzen,deshalb hatte ich in der Domain nur einen internen Standard DNS Server mit Hilfe des Assistenten erstellt.Das lief auf ,Ping und Reverse Namensauflösung,alles ging.

Dann wurde im DNS mal einiges probiert und auch der DNS komplett deinstalliert.

Liegt es vielleicht daran?

 

Es sind beides Windows 2003 Server,sorry für den Tipfehler.

 

@Konfus,wenn ich das frischeste Image wieder aufspiele,ist nach kurzer Zeit Userenv wieder da,ich komme an keinerlei Richtlinien,angeblich wäre es nicht möglich an die gpt.ini zu kommen,die ist aber da.

Spiele ich Image 29.04.04 vom PDC und 03.05 vom BDC auf,so habe ich Zugang zu den Richtlinien auf beiden,aber es findet weder eine AD Abgliechung statt noch eine Dateireplizierung.

Konfus,die Sachen mit der digitalen Signierung hatte ich abgeschaltet,als wir noch Zugriff auf die Richtlinien hatten.

[win2k3 Beginner 10]

Zur Erklärung vielleicht:dies ist meine erste Windows 2003 Domain,die ich aufsetze,demantsprechend wenig Erfahrung habe ich damit.

Ich habe die Server jetzt schon 2 mal neu gemacht,jedes Mal kam nach einiger Zeit Userenv im Ereignislog und ich kam nicht mehr an die GPOs

 

Jetzt dachte ich,ich hätte endlich alles richtig,da bleibt einer der Server stehen,keine Reaktion mehr.

Danach eben der Ärger,der jetzt ansteht.

Ich ging davon aus,daß ein Image ausreicht,habe aber nicht bedacht,daß die Images am besten zeitgleich erstellt werden sollten.

 

Es muss aber doch einen Weg geben, wie ich den beiden Server jetzt sagen kann,sie gehören zusammen,ohne alles neu zu machen.

Ein herausnehmen aus der Domain geht nicht ,also AD löschen,das lässt keiner der beiden zu ,immer wird behauptet,es gäbe noch einen weiteren AD Controller,er wäre nicht der letzte.

Auch wenn ich sage,er ist nicht der letzte AD ,so bricht das herabstufen per DC Promo ab.

Ich weiß echt nicht weiter, bin aber nach dem ganzen Ärger auch recht skeptisch,ob ich überhaupt Windows2003 nutzen soll.

Das mit dem Userenv kann mir ja immer wieder passieren...

[Runnel 10]

Hallo

 

So wie ich es hier nun raus gelesen habe handelt es sich hier einfach und zwei unterschidliche "Datenbank-Versionen" der ADS.

Mir scheint so als würde dein "PDC :-)" ein Image habe , bevor der 2. Server hinzugefügt wurde.

Stufe doch den 2. Server mal mit DCPromo herunter und dannach stufst du ihn wieder zum Domaincontroller herauf.

Images sind ja eh vorhanden. Sollte das nicht funktionierten , dann würde ich vielleicht den 2. Server herunterstufen und ganz aus der Domäne entfernen. Dannach nimmst du ihn wieder in der Domäne auf und stufst ihn dann zum DC mit dcpromo wieder herauf.

Dein DNS sollte aber laufen dafür. Das kann auch ohne weiteres auf den Server1 laufen.

 

Ich denke das sollte helfen.

 

Gruß Runnel