rruhe2105 10 Geschrieben 17. Juni 2004 Melden Teilen Geschrieben 17. Juni 2004 Hallo zusammen! Ich habe im Thread: http://www.mcseboard.de/showthread.php?threadid=30908&perpage=10&pagenumber=1 schon gestöbert, er hatte fast das gleiche Fehlerbild, welches sich mir jetzt zeigt. Nur bei mir handelt es sich um eine reine Win2k Domäne mit folgendem Fehlerbild: 1. Server namens SVDNS neu aufgesetzt, PDC und alle Masterrollen auf ihm, dann einen 2. Server namens SVPROD als BDC in die gleiche Domäne aufgenommen. Soweit alles okay, nur wurden Kontenänderungen nicht repliziert. Also Masterrollen auf SVPROD übertragen - ohne Probleme. Bei der Kontrolle, welcher jatzt Master ist, kam Fehlermeldung: Rolleninhaber offline. Es sah also so aus, daß der SVDNS und der SVPROD nicht miteinander repliziert haben, obwohl es bei der erstinstallation (DCPROMO) ja anscheinend funktionierte. Dann wurde der SVDNS heruntergestuft, was natürlich fehlschlug, da sich ja der Rollenmaster nicht meldete. Also mit ADSIEdit als letzten Server eingestuft und dann heruntergestuft. Einen weiteren Server namens SVPDF aufgesetzt und in die Domäne hereingenommen, DNS Server i.O., dann DCpromo ausgeführt, nun ist der lokale DNS-Server nicht verfügbar (DNS-Fehler 4013: DNS wurde angehalten bis Verzeichnis -ADS- gestartet wurde; Verzeichnis ist aber gestartet) Also scheint der Fehler auf dem jetzigen PDC zu liegen, weiß jemand, wie man die Server miteinander replizieren kann, oder wie ich den DNS-Server wieder ans laufen bekomme, ohne (!) den SVPROD neu aufsetzen zu müssen. Die Freigaben auf diesem Server dauern ca. 16 Stunden und dann muß es ja auch noch getestet werden. Also wäre das die schlechtere Lösung. :rolleyes: Zitieren Link zu diesem Kommentar
Wolke 10 Geschrieben 17. Juni 2004 Melden Teilen Geschrieben 17. Juni 2004 Hmm, ich habe gerade eine Domäne W2k mit einem DC gehabt und einen alleinstehenen Server zum DC heraufgestuft. Alles was es dafür brauchte war DNS Server der alte DC und AD. Woher nimmst Du in einer reinen w2k Domäne eigentlich einen BDC? Diesen gibt es unter 2000 nicht mehr. Gruss Wolke Zitieren Link zu diesem Kommentar
rruhe2105 10 Geschrieben 17. Juni 2004 Autor Melden Teilen Geschrieben 17. Juni 2004 Danke für die Belehrung, aber wie sollte ich es einfacher erklären??? Daß es im Win2k-Netzwerk nur Domänencontroller gibt und daß der PDC nur ein Emulator ist, ist mir bekannt. Ich bin MCSE! Wenn ich nur einen DC habe, ist das Problem ja auch nicht. Nur wenn es mehr als einer sind, müssen die Einträge des Active Directory natürlich auf allen DC (meinetwegen ohne B - ich hoffe, es bleibt verständlich) repliziert werden, wenn es sich z.B. um Kennwort änderungen handelt oder um Zugriffrechte. Das es ein einfacher Fehler ist, hab ich ja schließlich nicht behauptet. Ich suche ihn ja auch schon mind. 14 Tage. Die Kavalierslösung wäe eine Neuinstallation des SVPROD, das ist mir klar. Nur 1. dauert selbst diese Installation schon mind. 1 Tag (es laufen 2 Raid-Controller und ein RAID-onBoard in diesem System) Und die Personen , welche auf die Daten angewiesen sind, könnte ich für mind. 1 Woche heimschicken. Da wir so lange brauchen, die Berechtigungen wieder einzustellen. Tschöö Ron Zitieren Link zu diesem Kommentar
rruhe2105 10 Geschrieben 24. Juni 2004 Autor Melden Teilen Geschrieben 24. Juni 2004 Folgende Lösungsvorschlaäge hatte ich bereits per mail erhalten: also, der Fehler könnte beim DNS liegen. Nach meinen Erfahrungen wird der erste DC seine SRV (PDC,GC,Standort usw.) nicht aktualisiert haben. 2. wird diese Problem wohl auch beim 2 DC der Fall sein. Tipp: mit dem befehl "net stop netlogon" und " net start netlogon" den Anmelde Dienst der DC neu straten und im DNS kontrollieren ob alle Einträge vorhanden sind, wenn nicht die Dynamische Aktualisierung der Zone prüfen und TCPIP Einstellungen checken. 3. Manuelle Replikation durchführen ( Standort und Dienste ) 4. sollte der DNS Dienst nicht ordnungsgemäß funktionieren, diesen de-installieren und neu-installieren, danach alle Zonen löschen und die Zone für ADS neu erstellen, danach Punkt 2. durchführen. dann sollte alles laufen!! Tut es leider nicht! :mad: Wer hat noch ne Idee???? Zitieren Link zu diesem Kommentar
aba 10 Geschrieben 24. Juni 2004 Melden Teilen Geschrieben 24. Juni 2004 Irgendwelche Einträge in den Ereignisprotokollen vorhanden, die vielleicht beim Fehler-/Lösungsuchen behilflich sein können? Zitieren Link zu diesem Kommentar
rruhe2105 10 Geschrieben 24. Juni 2004 Autor Melden Teilen Geschrieben 24. Juni 2004 Alle 5 min in Anwendungsprotokoll: Ereignistyp: Warnung Ereignisquelle: SceCli Ereigniskategorie: Keine Ereigniskennung: 1202 Datum: 24.06.2004 Zeit: 10:50:24 Benutzer: Nicht zutreffend Computer: SVPDF Beschreibung: Die Sicherheitsrichtlinien werden mit Warnungen übermittelt. 0x534 : Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt. Um die besten Lösungen zur Behebung dieses Problems zu erhalten, melden Sie mit einem Nicht-Administratorkonto an und durchsuchen Sie die englische Knowledge Base unter http://support.microsoft.com nach "Troubleshooting 1202 events". Ein Benutzerkonto konnte in einem oder mehreren Gruppenrichtlinienobjekten nicht in eine SID aufgelöst werden. Dieser Fehler wurde möglicherweise durch ein falsch geschriebenes oder gelöschtes Benutzerkonto, bzw. ein nicht verfügbares Konto, das in den Gruppenrichtlinienobjektzweigen "Benutzerrechte" oder "Eingeschränkte Gruppen" referenziert ist, verursacht. Zur Behebung dieses Problems wenden Sie sich an einen Administrator und führen Sie folgende Schritte aus: 1. Identifizieren Sie Konten, für die keine SID aufgelöst werden konnte. Geben Sie dazu folgendes ein: FIND /I "nicht gefunden" %SYSTEMROOT%\Security\Logs\winlogon.log Die Ausgabe des FIND-Befehls enthält jeweils den problematischen Kontonamen. Beispiel: JoergFrey wurde nicht gefunden. In diesem Fall konnte die SID für den Benutzernamen "JoergFrey" nicht ermittelt werden. Dies kann vor allem dann geschehen, wenn das Konto gelöscht oder umbenannt wurde, oder wenn es unterschiedlich geschrieben wird (z.B. JoergFrei). 2.Identifizieren Sie alle Gruppenrichtlinienobjekte, die einen nicht aufgelösten Kontonamen enthalten. Geben Sie in der Eingabeaufforderung folgendes ein FIND /I "JoergFrey" %SYSTEMROOT%\Security\templates\policies\gpt*.* Die Ausgabe des FIND-Befehls ähnelt der Folgenden: ---------- GPT00000.DOM ---------- GPT00001.DOM SeRemoteShutdownPrivilege=JoergFrey Dies indiziert, dass von allen Gruppenrichtlinienobjekten, die auf den Computer angewendet wurden, nur eins das nicht aufgelöste Konto enthält. Speziell das zwischengespeicherten Gruppenrichtlinienobjekt GPT00001.DOM. Im nächsten Schritt wird der Anzeigename des Gruppenrichtlinienobjekts ermittelt. 3. Identifizieren Sie die Anzeigenamen aller Gruppenrichtlinienobjekte, die einen nicht aufgelösten Kontennamen enthalten. Diese Gruppenrichtlinienobjekte wurden im vorherigen Schritt identifiziert. Geben Sie in der Eingabeaufforderung folgendes ein: FIND /I "[Zuordnung]" %SYSTEMROOT%\Security\Logs\winlogon.log Die auf "[Zuordnung] gpt0000?.dom =" folgende Zeichenfolge in der Ausgabe von FIND identifiziert die Anzeigenamen für alle Gruppenrichtlinienobjekte, die auf diesen Computer angewendet werden. Beispiel: [Zuordnung] gpt00001.dom = Benutzerrechterichtlinie In diesem Fall hat das Gruppenrichtlinienobjekt, das das nicht aufgelöste Konto (gpt00001.dom) enthält, den Anzeigenamen "Benutzerrechterichtlinie". 4. Löschen Sie nicht aufgelöste Konten aus allen Gruppenrichtlinienobjekten, die ein solches Konto enthalten. a. Start -> Ausführen -> MMC.Exe b. Wählen Sie im Menü "Datei" den Eintrag "Snap-In hinzufügen/entfernen..." c. Klicken Sie auf dem Dialogfeld "Snap-In hinzufügen/entfernen" auf die Schaltfläche "Hinzufügen...". d. Wählen Sie auf dem Dialogfeld "Eigenständiges Snap-In hinzufügen" den Eintrag "Gruppenrichtlinie" aus und klicken Sie auf "Hinzufügen". e. Klicken Sie auf dem Dialogfeld "Gruppenrichtlinienobjekt auswählen" auf die Schaltfläche "Durchsuchen..." f. Wählen Sie auf dem Dialogfeld "Gruppenrichtlinienobjekt suchen" die Registerkarte "Alle" aus. g. Klicken Sie mit der rechten Maustaste auf die erste in Schritt 3 identifizierte Richtlinie und wählen Sie "Bearbeiten" h. Überprüfen Sie all Einstellungen unter Computerkonfiguration/ Windows-Einstellungen/ Sichterheitseinstellungen/ Lokale Richtlinien/ Zuweisen von Benutzerrechten bzw. Computerkonfiguration/ indows-Einstellungen/ Sichterheitseinstellungen/ Eingeschränkte Gruppen für die in Schritt 1 identifizierten Konten i. Wiederholen Sie die Schritte 4g und 4h für alle folgenden Gruppenrichtlinienobjekte, die in Schritt 3 identifiziert wurden. Zitieren Link zu diesem Kommentar
rruhe2105 10 Geschrieben 24. Juni 2004 Autor Melden Teilen Geschrieben 24. Juni 2004 Auszug aus Directory Services-protokoll: Ereignistyp: Informationen Ereignisquelle: NTDS Replication Ereigniskategorie: Replikation Ereigniskennung: 1557 Datum: 24.06.2004 Zeit: 10:27:32 Benutzer: Jeder Computer: SVPDF Beschreibung: Dieser DRA hat noch nie eine Vollsynchronisation der Partition DC=ST abgeschlossen. Er wird erst als ein verfügbares Verzeichnis angekündigt, wenn diese Bedingung erfüllt ist. Dieser Server wurde vor kurzem von einem Quellserver installiert. Stellen Sie sicher, dass der Quellserver noch für das Bereitstellen von Daten für dieses System verfügbar ist. Die Synchronisation wird wiederholt. Auszug aus DNS-Server-Protokoll Ereignistyp: Warnung Ereignisquelle: DNS Ereigniskategorie: Keine Ereigniskennung: 4013 Datum: 24.06.2004 Zeit: 10:01:58 Benutzer: Nicht zutreffend Computer: SVPDF Beschreibung: Der DNS-Server konnte das Active Directory nicht öffnen. Dieser DNS-Server wurde für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff zu dem Verzeichnis nicht fehlerfrei ausgeführt werden. Der DNS-Server wird so lange angehalten, bis das Verzeichnis gestartet wird. Sollte der Server gestartet worden sein und das entsprechende Ereignis ist nicht protokolliert worden, dann wartet der Server weiterhin darauf, dass das Verzeichnis gestartet wird. Dies scheint der relevante Fehler zu sein. DNS hab ich deinstalliert und wieder installiert. Erhalte beim Installieren folgende Fehlermeldung: Mindestens ein Dienst für die Komponenete DNS-Server hat mehr Zeit zum Starten gebraucht, als dafür vorgesehen ist. Die Installation wird fortgesetzt, aber die Dienste werden nicht verfügbar sein, bis sie vollständig gestartet sind. Diese Fehlermeldung hatte ich damals auch auf dem SVDNS, als ich dort den DNS deinst und wieder inst. wollte. Wie kann ich das ADS zu starten bringen, damit der DNS läuft? Wäre für eine Idee sehr dankbar. Grüße aus dem Rheinland Ronald Zitieren Link zu diesem Kommentar
rruhe2105 10 Geschrieben 1. Juli 2004 Autor Melden Teilen Geschrieben 1. Juli 2004 Habe die Lösung erhalten! Kostet die Firma aber mind. 300 Euro :p Hier nun die Lösung: auf allen Servern folgende Einträge vornehmen (kopieren und in eine reg-Datei stecken und dann zusammenführen, anschl. Neustart des DC!!): :mad: _______________________ Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters] "UpdateTopLevelDomainZones"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters] "AllowSingleLabelDnsDomain"=dword:00000001 ________________________ Danach geht es. :p Danke für alle, die mir helfen wollten. Achso: das Problem tritt erst ab SP4 auf Win2000 auf, bei Win2K3 darf es keine Domänennamen ohne Top Level Domain mehr geben, das sollte mit SP4 auch erreicht werden. Schade, daß es dafür kein White paper gibt. :( Tschööööö :p :p Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.