Problem mit Replication zwischen 2 W2K3 DC

[genab.de 10]

Ich habe ein Replications Problem wzischen meinen 2 DCs

 

 

Im Replmon steht:

 

Root:

 

Replication Failure: Change have not been succesfully replicatet with Backup-DC for 9 attemps

Replication Failure: The Reason is: Ein DSA vorgang kann aufgrund eines Replicationsfehlers nicht fortgesetzt werden (kommt wenn ich im Replmon die Sync anschupsen will)

 

Oder

 

Replication Failure: Change have not been succesfully replicatet with Backup-DC for 9 attemps

Replication Failure: The Reason is: Der RPC fehler ist nicht verfügbar

 

 

das kommt alle Stunde

 

 

 

Bin mit meinem Latein am Ende....

 

 

 

Es ist keine Firewall aktive auf beiden Servern

Backup DC ist in der Aussenstelle gleichzeitig der VPN Server. DNS Server horcht nur auf der Internen Netzwerkkarte

[Sir_MP 10]

was wird nicht repliziert ... Configuration, Schema, DomainDNSZones, ForestDNSZones (siehe replmon)?

 

gibt es weitere hinweise/meldungen im eventlog "dateireplikationsdienst"?

 

konnten die dc's jemals replizieren?

 

funktioniert ping auf fqdn des entfernten dc's?

[Jazzy 10]

Hi,

 

was sagt das Event-Log? Fehler 1311 und 1312?

Hier wird ein ähnliches Problem gerade behandelt.

 

Grüße

[genab.de 10]

Im Eventlog steht:

 

Ereignistyp: Warnung

Ereignisquelle: NTDS KCC

Ereigniskategorie: Konsistenzprüfung

Ereigniskennung: 1865

Datum: 07.06.2006

Zeit: 20:48:53

Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG

Computer: DC2

Beschreibung:

Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte kann daher von dem lokalen Standort nicht erreicht werden.

 

Standorte:

CN=Munich,CN=Sites,CN=Configuration,DC=dom.DC=com

 

 

 

Ereignistyp: Fehler

Ereignisquelle: NTDS KCC

Ereigniskategorie: Konsistenzprüfung

Ereigniskennung: 1311

Datum: 07.06.2006

Zeit: 20:48:53

Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG

Computer: DC2

Beschreibung:

Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition ermittelt.

 

Verzeichnispartition:

CN=Configuration,DC=dom,DC=com

 

Es gibt für die Konsistenzprüfung nicht genügend Sitekonnektivitätsinformationen in Active Directory-Standorte und -Dienste, um eine umfassende Gesamtstrukturreplikationstopologie zu erstellen. Oder ein oder mehrere Domänencontroller mit dieser Verzeichnispartition ware nicht in der Lage, die Verzeichnispartitioninformationen zu replizieren. Dies liegt vermutlich an nicht zugreifbaren Domänencontrollern.

 

Benutzeraktion

Verwenden Sie Active Directory-Standorte und -Dienste, um eine der folgenden Maßnahmen durchzuführen:

- Veröffentlichen Sie genügend Informationen über Standortkonnektivität, so dass die Konsistenzprüfung eine Route ermitteln kann, durch die die Verzeichnispartition diesen Standort erreichen kann. Diese Option wird empfohlen.

- Fügen Sie zu einem Domänencontroller hinzu, der die Partition an diesem Standort enthält, ein ein Verbindungsobjekt von einem Domänencontroller hinzu, der die selbe Partition an einem anderen Standort enthält.

 

Wenn keine dieser beiden Aufgaben von Active Directory-Dienste und -Standort den Problemzustand behebt, überprüfen Sie die bisher durch die Konsistenzprüfung protokollierten Ereignisse, die die nicht zugreifbaren Domänencontroller identifizieren.

 

und

 

Ereignistyp: Warnung

Ereignisquelle: NTDS KCC

Ereigniskategorie: Konsistenzprüfung

Ereigniskennung: 1566

Datum: 07.06.2006

Zeit: 20:48:53

Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG

Computer: DC2

Beschreibung:

Alle Domänencontroller am folgenden Standort, die die Verzeichnispartition über diesen Transport replizieren können, sind zurzeit nicht verfügbar.

 

Standort:

CN=Munich,CN=Sites,CN=Configuration,DC=domDC=com

Verzeichnispartition:

CN=Configuration,DC=dom,DC=com

Transport:

CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=dom,DC=com

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.'>http://go.microsoft.com/fwlink/events.asp.

 

 

 

 

Immer diese 3 abwechseln (Im VErzeichnissdienst)

 

 

1865, 1566, 1311

 

 

Ausserdem:

 

Unter System: 10016

 

Ereignistyp: Fehler

Ereignisquelle: DCOM

Ereigniskategorie: Keine

Ereigniskennung: 10016

Datum: 08.06.2006

Zeit: 19:49:28

Benutzer: NT-AUTORITÄT\NETZWERKDIENST

Computer: DC2

Beschreibung:

Durch die Berechtigungseinstellungen (Anwendungsspezifisch) wird der SID (S-1-5-20) für Benutzer NT-AUTORITÄT\NETZWERKDIENST keine Aktivierungberechtigung (Lokal) für die COM-Serveranwendung mit CLSID

{BA126AD1-2166-11D1-B1D0-00805FC1270E}

gewährt. Diese Sicherheitsberechtigung kann mit dem Verwaltungsprogramm für Komponentendienste geändert werden.

 

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

[genab.de 10]

hab mir die anderen Threads durchgelesen:

 

bei mir sind da duchaus paaralelen zu entdecken.

 

Denn ich hab auch ein VPN gebaut, und meine Leitung ist auch ziemlich langsahm. Deshalb warte ich mal ab, und ändere mal die Registry und setz den Timeout von 5 Minuten auf 45 Minuten.

 

Ich denke nicht, dass ich da viel kapput machen kann.

 

 

Und Pingen konnte ich immer hatte zuerst das Problem, da der DC2 4 IP Adressen hatte (eine Interne, eine Externe, eine Interne RAS und eine Externe VPN) ich per Round Robin immer eine andere IP bekommen habe.

 

Das habe ich heute deaktiviert, das der DNS Server nur noch auf die Interne IP "horcht"

[Jazzy 10]

Und Pingen konnte ich immer

Auch mit dem Don't Fragment Flag und einer Länge von 1500?

[genab.de 10]

also ich hab n Ping -l mit 3000 durchführen können, das beweist ja, das es gehen müsste.

 

Fragmentierung habe ich am, VPN server nicht geändert. Ich habe einen PPPT VPN Betrieb

 

Das sollte doch eigentlich passen.

 

 

PS: oder häte ich da beim Pingen für Dont Fragment was angeben sollen?

 

PPS: hat schon jemand das MS Tool RPCping getestet? das könnte mir doch auch weiterheklfen, hab da gestern was drüber gelesen, aber nicht gefunden.

[Jazzy 10]

also ich hab n Ping -l mit 3000 durchführen können, das beweist ja, das es gehen müsste.

Mit 3000? Meines wissens ist 1500 die Standardeinstellung von 2003. Vielleicht solltest Du hier mal nach einem Fehler suchen.

Wichtig ist auch das Du den Ping von beiden Seiten probierst. Nicht das es von A nach B geht aber nicht von B nach A.

 

PS: oder häte ich da beim Pingen für Dont Fragment was angeben sollen?

Ich würde bei WAN-Verbindungen immer mit Dont Fragment pingen!

 

Grüße

[genab.de 10]

Zitat: Zitat:

Zitat von genab.de

PS: oder häte ich da beim Pingen für Dont Fragment was angeben sollen?

 

Ich würde bei WAN-Verbindungen immer mit Dont Fragment pingen!

 

wie gebe ich das an?

 

Zitat:

Zitat von genab.de

also ich hab n Ping -l mit 3000 durchführen können, das beweist ja, das es gehen müsste.

 

Mit 3000? Meines wissens ist 1500 die Standardeinstellung von 2003. Vielleicht solltest Du hier mal nach einem Fehler suchen.

Wichtig ist auch das Du den Ping von beiden Seiten probierst. Nicht das es von A nach B geht aber nicht von B nach A.

 

 

ich habe

 

 

PING IPoderFQDN-vom Zielserver -l 3000 eingegeben

 

dann schickt er doch ein 3000Byte großes Packet, das er dann in mindestens 2 Fragmentieren muss, von a nach b

 

das beweist doch, das Dont´fragment doch aus ist -> und sollte es doch auch sein

 

 

Ich kann von allen seiten Puingen - Gangbang - Jeder kann mit jedem :D

[genab.de 10]

so nun hab ich am Wochenende rumgespielt, und geschut, das auch die Leitung frei ist.

 

so habe ich am Auswärtigen DC eingestellt, dass er nur noch auf eine IP horchen soll.

 

Und zwar auf die Interne. Und am Sonntag morgen hatte ich endlich mal eine Reolizierung.

 

Replmon zeigte keine fehler an.

 

 

Kann das am DNS liegen? Oder war das nur zufall. Darf der Domain Controller keine 2 IP Adressen im DNS haben? (PS: Round Robin war eingeschaltet)