Betriebsmaster verliert AD?

[XPhile 10]

Hi zusammen,

 

System:

W2K3-Domäne

6 DCs

aktueller Patchstand

 

Fehler tritt nur auf dem Betriebsmaster auf.

Google und eventid.net helfen da leider nicht.

netdiag läuft ohne Fehler durch, dcdiag ebenfalls.

 

Folgende Einträge im Ereignislog, fallen mir auf, der Rest ist sauber

 

Quelle: NTDS LDAP

Fehler: 1535

Internes Ereignis: Der LDAP-Server hat einen Fehler zurückgegeben:

 

Zusätzliche Daten

Fehlerwert:

0000208D: NameErr: DSID-031001CD, problem 2001 (NO_OBJECT), data 0, best match of:

'CN=File Replication Service,CN=System,DC=meinedomain,DC=local'

 

Der Eintrag "best match of:" ändert sich jedes mal. U.a. sind auch folgende Einträge zu finden:

'CN=Dfs-Configuration,CN=System,DC=meinedomain,DC=local'

'CN=rechnername,OU=Domain Controllers,DC=meinedomain,DC=local

 

Weitere Einträge, direkt nach dem Start des Servers sind folgende:

 

Quelle: NTDS

Fehler: 1535

Internes Ereignis: Der LDAP-Server hat einen Fehler zurückgegeben:

 

Zusätzliche Daten

Fehlerwert:

00002071: UpdErr: DSID-030502F7, problem 6005 (ENTRY_EXISTS), data 0

 

Zwischendurch kommt noch folgende:

 

Quelle: NTDS

Fehler: 1317

Internes Ereignis: Der lokale Domänencontroller hat die LDAP-Verbindung von der folgenden Netzwerkadresse aufgrund einer Zeitüberschreitung getrennt.

 

Netzwerkadresse:

127.0.0.1

 

Ich glaube, dass ist das Problem, welches dazu führt, dass der Server (vermutlich) unter Last sein AD verliert. Äußerst sich so, als das ich bei der Benutzerverwaltung und ähnlichem die Fehlermeldung bekomme:

"Der Server ist nicht funktionsfähig".

Dann bringen dcdiag/netdiag auch Fehlermeldungen, von wegen Domäne nicht gefunden.

 

Nach einem Neustart klappt wieder alles, bis auf obige Ereignislogs.

Fehler tritt nun schon das 2. Mal in 2 Tagen auf. Immer zur Hauptbelastungszeit (nach der Mittagspause)

Server arbeitet auch brav weiter. Zugriff auf die Freigaben sind weiterhin möglich, Anmeldung am Server selber auch (nur Admins melden sich an),AD ist halt nicht verfügbar.

Ist der Fehler da, dann hagelt es auch massig DNS-Fehler (4007, 4007,4013).

Der DNS hat auch alle AD-integrierten Domänen verloren, bis zum nächsten Neustart.

 

Sorry, dass es so ne Masse an Text ist.

 

Danke und Gruß

[Dirk_privat 10]

Hi,

 

was hast Du für eine Netzstruktur? Wieviele Standorte und User hast Du wenn Du 6 DC´s im Einsatz hast?

 

Gruß

Dirk

[XPhile 10]

Hi Dirk,

 

Ein Standort

Genaue Userzahl kann ich dir nicht nennen, dürften um die 250 sein.

 

Wir haben 6 DCs weil wir eine Branchensoftware über Terminaldienste anbieten.

4DCs teilen sich die Terminalsessions über NLB.

 

Jeder unserer Kunden hat seine eigene Freigabe, welche sich auf dem Betriebsmaster befindet.

 

Falls es nützlich ist:

Tasmanager sagt aus:

Handles: 25000

Threads: 600

Prozesse: 60

 

Betriebsmaster hat 2GB RAM und 500MB in Benutzung

 

Gruß

[Dirk_privat 10]

Hi,

 

ehrlich gesagt sind 6 DC´s viel zu viel für Deine Umgebung. Durch den extem hohen Replizierungsaufwand kann es da zu Problemen kommen.

 

Warum habt ihr die Terminalserver auf einem DC laufen, das würde ich gleich ändern und mit 2 DC´s wird die Replikation viel übersichtlicher. Das ist natürlich Eure Entscheidung, aber schön ist das nicht.

 

Ich würde mal den Betriebsmaster auf einen anderen DC verschieben und als nächstes die DC´s konsolidieren.

 

Gruß

Dirk

[XPhile 10]

Hi

 

danke für die Antwort.

Habe die Aufgabe geerbt und hab noch nicht so viel Erfahrung damit.

 

Kann dir nicht sagen, warum die TerminalServer zu DCs gemacht wurden.

 

Was bedeuted die DCs konsolidieren?

 

Danke und Gruß

[Dirk_privat 10]

Konsolidieren bedeutet, daß zwei DC´s völlig ausreichend sind und Du die anderen demoten solltest. Das erspart Dir sehr viel Replikationstraffic und die damit verbundenen Probleme.

 

Dirk

[XPhile 10]

werde das mit der Chefetage besprechen und berücksichtigen.

 

Gibt es noch weitere Ansätze, die zu dem Fehler führen können?

 

Das System läuft schon in dieser Form über 1 Jahr. Was mich wundert ist halt, dass es so plötzlich auftritt.

 

Gruß

Sascha

[XPhile 10]

ich könnt heulen, es ist schon wieder passiert.

 

AD iss wech, DNS-Fehler noch und nöcher.

 

Was zum Zeitpunkt des Fehler im Ereignislog stand anbei:

 

Internes Ereignis: Der LDAP-Server hat einen Fehler zurückgegeben:

 

Zusätzliche Daten

Fehlerwert:

00002745: LdapErr: DSID-0C06078D, comment: The server encountered a network error, data 0, vece

 

Der Rest ist wie oben beschrieben.

 

Problem ist, dass ich den Server jetzt nicht neu starten kann, weil sonst den Usern Ihre Daten flöten gehen.

 

Die Last ist auch nicht höher als heute morgen, als noch alles funktionierte...

 

Hat jemand noch ne Idee?

 

Gruß

Sascha

[Dirk_privat 10]

Das hört sich ehrlich gesagt nicht gut an. Ich kann Dir schwer raten etwas zu tun, aber ich würde am Wochenende die Rollen auf einen anderen DC übertragen von dem Du weißt daß er sauber läuft und als nächstes das AD mit den vielen DC´s in Ordnung bringen.

 

Gruß und ein hoffentlich erfolgreiches Wochenende

Dirk

[XPhile 10]

Danke für die Wünsche,

 

ich werds versuchen.

 

Gruß

Sascha

[XPhile 10]

ich krieg die Tür nicht zu.

 

Die Kiste funktioniert wieder.

 

Eintrag im Ereignisprotokoll:

Die DNS-Serverübertragung der Version 2261 von Zone meinedomain.local auf den DNS-Server in 192.168.0.5 wurde ordnungsgemäß durchgeführt.

 

Ich würde echt gern wissen, wo da der Wurm drin ist...

 

Gruß

Sascha

[XPhile 10]

Hi, hab noch ne Frage zum Verschieben der Betriebsmasterrollen:

 

Wir verwalten 1 Domäne im AD, der DNS verwaltet jedoch die .local und noch 3 weitere .de Domänen zur Namensauflösung.

 

"Hilfe und Support" sagt aus:

 

Wenn eine Domäne mehrere Domänencontroller umfasst, sollte die Funktion des Infrastrukturmasters nicht dem Domänencontroller zugewiesen werden, der als Server für den globalen Katalog dient.

...

Wenn alle Domänencontroller einer Domäne gleichzeitig als Server für den globalen Katalog dienen, verfügen alle Domänencontroller über aktuelle Daten, und es ist unerheblich, auf welchem Domänencontroller die Funktion des Infrastrukturmasters angelegt ist.

 

Ferner heißt es in diesem Thread:

Das Ganze mit GC und IM ist schon richtig, aber nur in einem Mehrdomänen-Forest. In einem Single-Domain-Forest spielt das gar keinen Tango wer da auf wem liegt.

 

 

Nun meine Frage:

Wenn ich nun vom 1. DC alle Betriebsmaster auf einen 2.DC verschiebe, danach alle (bis auf einen Ausweichserver) verbleibenden DCs demote, kann ich dann denn Infrastrukturmaster auf dem neuen Betriebsmaster (zusammen mit den anderen Masterfunktionen) belassen, oder muss den Infrastrukturmaster ein 2. DC übernehmen?

 

Gruß

Sascha

[Dirk_privat 10]

Hi,

 

klar kannst Du alle Rollen auf einer Kiste fahren. Wenn Du dann einen zweiten DC hast kannst Du die Forest Rollen auf eine schieben und die drei Domain Rollen auf den anderen.

 

Gruß

Dirk

[XPhile 10]

hi Leute,

muß den Thread leider noch mal aus der Versenkung holen.

 

Also, nachdem es abgelehnt wurde alle DCs (bis auf 2) zu Memberserver herabzustufen, habe ich den FTP auf einen anderen Server umgelegt.

Jetzt spinnt dieses ***teil rum. Der Ursprungsserver (muß jetzt kein FTP mehr machen) freut sich und tut seinen Dienst ohne Ausfälle.

Alle paar Tage (absolut nicht nachvollziehbar) ist das AD wech. Hat zuletzt 10 Tage tadellos gearbeitet.

 

Seltsam ist, dass es augenscheinlich mit dem FTP-Service zu tun hat. Da jetzt der neue Server spinnt und der alte tadellos arbeitte.

 

Folgende Ereignis schlägt im Log als erstes auf:

 

Quelle: Userenv

Kategorie: Keine

Ereigniskennung: 1006

Benutzer: NT-Autorität/system

 

Es konnte keine Bindung mit der Domäne prime2000.local hergestellt werden. (Server heruntergefahren). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen.

 

Eine Minute später spinnt der DNS rum und bring eine 4015 und danach nur noch 4004 und 4000. (klar, weil das AD weg ist).

 

 

Vielleicht noch jemand eine Idee?

 

Danke und Gruß