reik 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 halle liste, ok ich habs wohl geschafft und das AD von mir auf arbeit ins aus zu kicken. naja vielleicht hat ja doch noch jemand eine idee was zu tun ist in meiner situation. folgende situation: es gab bisher 2 domaincontroller die für eine domaine zuständig waren. alles 2003 server - das AD hatte auch relaitv gut funktioniert. bis ich vor das problem gestellt wurde eine weitere domaine einführen zu müssen (anforderung vom GL). frohen mutes habe ich einen neuen server aufgesetzt und dabei wohl so ziehmlich alles falsch gemacht was man falsch machen kann. nachem er installiert war konnte ich ihn auch mit dcpromo in das aktive directory reinhelbeln unter einem neuen domainnamen. in directory und dienste sehe ich ihn auch aber ich kann weder auf die neue domaine zugreifen noch konnte ich danach ordentlich die beiden normalen server replizieren. immer wenn ich den zweiten server auf dem der katalog des ad´s installiert ist replizieren will mit dem ersten kommt es zu dieser fehlermeldung: ... beim replizieren ist ein fehler aufgetreten: es wurden nicht genügend attribute übergeben, um ein objekt zu erstellen. das objekt ist eventuell nicht vorhanden, da es gelöscht oder in der sammlung veralteter objekte aufgenommen wurde. mal davon abgesehen das ich auf die neue domanie keinerlei zugriff habe auch nicht vom neuem dc, dafür aber auf die alte domaine von eben diesen - ist mein hauptproblem im augenblick erstmal das die beiden server wieder mit einander sprechen respektive replizieren. ich habe jetzt mit dcdiag erstmal versucht raus zu kriegen wo es hackt und da kommt der im bild (diag1) unten aufgeführte fehler zum vorschein - kann jemand damit was anfangen???? (intressanter weise kann ich von ersten server auf den zweiten repilzieren - da gibt es keinerlei fehlermeldung) gebe ich an der konsole repadmin /shworeps neuer domainname ein bekomme ich eine recht kryptische aussage: [d:\srv03rtm\ds\ds\src\util\repadmin\repbin.c, 1541 LDAP error 81 (server herruntergefahren) win32 err 58. naja das dumme ist einfach der server ist nicht runter gefahren! beim gleichen Befehl mit dem alten domainnamen kommt vom neuem dc in der richtigen domaine die warnung: KCC could not add this replica link due to error (er kann also den link nicht hinzufügen) wenn ich nun sagen ok - raus mit dem neuen server aus dem AD kriege ich die fehlermeldung das die spannende frage ist warum das so wie es ist? hmm tja hat jemand eine idee? *mal ziehmlich doof - und auf rat hoffend - aus der wäsche guckent frag* gruß reik Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Bitte löschen. Hatte mich verlesen... Zitieren Link zu diesem Kommentar
GregorBHV 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 Hallo, grundsätzlich mal eben domain ist nicht gleich domäne! Einfach gesagt: Domains gibts im Internet und Domänen im Netzwerk. aber jetzt zu deinem Problem: Hast du dich denn ausgiebig mit den Installations- und Konfigurationsanleitungen von MS auseinandergesetzt? Es scheint mir ja so, als hättest du den Server einfach mal auf gut Glück installiert. Hier mal 2 Links: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/de/library/ServerHelp/8b6b5d4d-1fe5-47ae-8773-7d47b2c47ac1.mspx?mfr=true http://www.microsoft.com/germany/technet/datenbank/articles/600535.mspx MFG Gregor Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 @carlito: bis ich vor das problem gestellt wurde eine weitere domaine einführen zu müssen (anforderung vom GL). @reik: Versuche erstmal, die neue Domain zu löschen (DCPromo) und beseitige dann in der Root-Domain ggf. sämtliche Spuren der Child-Domain. Dann muss DNS richtig vorbereitet werden. Wenn der neue DC auch DNS Server für seine Domain sein soll, dann erstelle im DNS auf dem DC der Forest-Root-Domain eine Delegierung zum neuen DC und stelle auf dem neu zu kreierenden DC den DC der Root-Domain als DNS Server ein. Danach startest Du DCPromo und gibst an, dass eine Child-Domain im vorhandenen Forest erstellt werden soll. Christoph Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 @ Christoph35 Genau das hatte ich aufgrund der mangelden Formatierung von reik übersehen. Zitieren Link zu diesem Kommentar
reik 10 Geschrieben 6. Juli 2006 Autor Melden Teilen Geschrieben 6. Juli 2006 hallo, ich versuche mal der reihenfolge die fragen zu beantworten die gestellt wurden und meinerseits gegenfragen zu stellen. also: @GregorBHV ja du hast vollkommen recht - ich habe ziehmlich blauäugig mal ein wenig im internet recherchiert und unter TechNet die schirtte nachvollzogen. schritt für schritt und zwar um ganz konkret zu sein diese anleitung hier --> "Erstellen einer neuen Domänenstruktur in einer vorhandenen Gesamtstruktur" ich gebe zu das das wohl einer meiner nicht so besten einfälle war. im übrigen meinte ich natürlich eine domain innerhalb eines netzwerkes. nur um das noch hinzu zufügen. @Christoph35 hmm ich habe mit dcpromo bereits versucht die domain zu löschen. leider ohne erfolg. ich bin wederum ganz genau so vorgegangen wie vom assistenten verlangt. bevor ich mich um einen weiteren versuch der domain erstellung kümmere sollte ich - so wie du vorschlägst um die spuren-beseitigung kümmern. tja aber wie, wenn dcpromo fehl schlägt? ich persönlich bin so ziehmlich mit meinem latein am ende ... @carlito hm tja ich kann mich eigentlich nur für meine mangelne formatierung entschuldigen. würdest du mir bitte erklären wo ich was anders machen soll damit es schneller zu erfassen ist? danke. gruß reik Zitieren Link zu diesem Kommentar
Lian 2.451 Geschrieben 6. Juli 2006 Melden Teilen Geschrieben 6. Juli 2006 @reik: Bitte den output per copy & paste hier einfügen. Zitieren Link zu diesem Kommentar
reik 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 morgen, @lian ok so wie gewünscht der output. der vermurkste dc gibt mir wenn ich dcpromo ausführe für die deinstallation folgende fehlermeldung: Der Vorgang ist fehlgeschlagen. Active Directory konnte die verbleibenden Daten in die Verzeichnispartion CN=Schema,CN=Configuration,DC=Domainname,DC=local nicht zum Domaincontroller ADS2.domain.local übertragen. "Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden." ----------------------------------- EoF wenn ich dcdiag auf dem ADS2 aufrufe kriege ich folgende meldung: Z:\>dcdiag Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Karower-Strasse\ADS2 Starting test: Connectivity ......................... ADS2 passed test Connectivity Doing primary tests Testing server: sitename\ADS2 Starting test: Replications [Replications Check,ADS2] A recent replication attempt failed: From ADS1 to ADS2 Naming Context: DC=*,DC=local The replication generated an error (8606): Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erste llen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht oder in die Samml ung veralteter Objekte aufgenommen wurde. The failure occurred at 2006-07-07 06:32:18. The last success occurred at 2006-06-29 18:01:37. 5790 failures have occurred since the last success. REPLICATION-RECEIVED LATENCY WARNING ADS2: Current time is 2006-07-07 06:33:11. DC=*,DC=local Last replication recieved from ADS1 at 2006-06-29 18:01:37. ......................... ADS2 passed test Replications Starting test: NCSecDesc ......................... ADS2 passed test NCSecDesc Starting test: NetLogons ......................... ADS2 passed test NetLogons Starting test: Advertising ......................... ADS2 passed test Advertising Starting test: KnowsOfRoleHolders ......................... ADS2 passed test KnowsOfRoleHolders Starting test: RidManager ......................... ADS2 passed test RidManager Starting test: MachineAccount ......................... ADS2 passed test MachineAccount Starting test: Services ......................... ADS2 passed test Services Starting test: ObjectsReplicated ......................... ADS2 passed test ObjectsReplicated Starting test: frssysvol ......................... ADS2 passed test frssysvol Starting test: frsevent ......................... ADS2 passed test frsevent Starting test: kccevent An Error Event occured. EventID: 0xC02507C4 Time Generated: 07/07/2006 06:24:04 (Event String could not be retrieved) An Warning Event occured. EventID: 0x80000786 Time Generated: 07/07/2006 06:32:58 (Event String could not be retrieved) ......................... ADS2 failed test kccevent Starting test: systemlog ......................... ADS2 passed test systemlog Starting test: VerifyReferences ......................... ADS2 passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Zitieren Link zu diesem Kommentar
reik 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Running partition tests on : DomainDnsZones Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : * Starting test: CrossRefValidation ......................... * passed test CrossRefValidation Starting test: CheckSDRefDom ......................... * passed test CheckSDRefDom Running enterprise tests on : *.local Starting test: Intersite ......................... *.local passed test Intersite Starting test: FsmoCheck ......................... *.local passed test FsmoCheck (der Stern steht immer für den Domainnamen) ------------------ EoF führe ich dcdiag auf dem ADS1 aus kommt folgende meldung Z:\>dcdiag Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: sitename\ADS1 Starting test: Connectivity ......................... ADS1 passed test Connectivity Doing primary tests Testing server: sitename\ADS1 Starting test: Replications ......................... ADS1 passed test Replications Starting test: NCSecDesc ......................... ADS1 passed test NCSecDesc Starting test: NetLogons ......................... ADS1 passed test NetLogons Starting test: Advertising ......................... ADS1 passed test Advertising Starting test: KnowsOfRoleHolders ......................... ADS1 passed test KnowsOfRoleHolders Starting test: RidManager ......................... ADS1 passed test RidManager Starting test: MachineAccount ......................... ADS1 passed test MachineAccount Starting test: Services ......................... ADS1 passed test Services Starting test: ObjectsReplicated ......................... ADS1 passed test ObjectsReplicated Starting test: frssysvol ......................... ADS1 passed test frssysvol Starting test: frsevent ......................... ADS1 passed test frsevent Starting test: kccevent An Warning Event occured. EventID: 0x80000786 Time Generated: 07/07/2006 06:33:27 (Event String could not be retrieved) ......................... ADS1 failed test kccevent Starting test: systemlog ......................... ADS1 passed test systemlog Starting test: VerifyReferences ......................... ADS1 passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Running partition tests on : DomainDnsZones Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Zitieren Link zu diesem Kommentar
reik 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : * Starting test: CrossRefValidation ......................... * passed test CrossRefValidation Starting test: CheckSDRefDom ......................... * passed test CheckSDRefDom Running enterprise tests on : *.local Starting test: Intersite .........................*.local passed test Intersite Starting test: FsmoCheck ......................... *.local passed test FsmoCheck (der Stern steht immer für den Domainnamen) ------------------ EoF führe ich die repikation in standorte und dienste aus funktioniert die replikation vom ADS2 auf den ADS1. umgedreht kommt es jedoch zu folgender meldung: Beim Versuch den Namenskontext "*.local" vom Domänencontroller "ADS1" nach Domänencontroller "ADS2" zu synchronisieren, ist der folgende Fehler aufgetreten: Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erstellen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht oder in der Sammlung veralteter Objekte aufgenommen wurde. Dieser Vorgang wird nicht fortgesetzt. -------------------EoF in der ereignissanzeige beider domaincontroller kriege ich unter der verzeichnissreplikation ein error mit der eventnummer 1568 der kategorie: Konsistenzprüfung und folgendem inhalt angezeigt Keiner der Domänencontroller am folgenden Standort, die die folgende Verzeichnispartition replizieren, ist für den folgenden Transport konfiguriert, obwohl der Standort selbst für die Replikation über diesen Transport konfiguriert ist. Standort: CN=Sitename,CN=Sites,CN=Configuration,DC=*,DC=local Verzeichnispartition: DC=neue Domain Transport: CN=SMTP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=*,DC=local Benutzeraktion Führen Sie mithilfe von Active Directory-Standorte und -Dienste die folgende Aktion aus: - Konfigurieren Sie den Standort so, dass keine Replikationen über diesen Transport zugelassen werden, indem Sie die entsprechenden Standortverknüpfungsobjekte ändern. - Aktivieren Sie mindestens einen Domänencontroller für die Verwendung dieses Transports. Für den SMTP-Transport ist es erforderlich, dass der SMTP-Dienst installiert und das mailAddress-Attribut auf dem entsprechenden Serverobjekt festgelegt ist. Zitieren Link zu diesem Kommentar
reik 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 bzw. die warung mit dem code 1926 der kategorie: Konsistenzprüfung Fehler beim Herstellen einer Replikationsverknüpfung mit einer schreibgeschützten Verzeichnispartition mit den folgenden Parametern. Verzeichnispartition: DC=neue domaine Quelldomänencontroller: CN=NTDS Settings,CN=ADS3,CN=Servers,CN=Site,CN=Sites,CN=Configuration,DC=*,DC=local Adresse des Quelldomänencontrollers: 5035eff0-9a35-476d-9b86-d207979b638f._msdcs.*.local Standortübergreifende Übertragung (falls vorhanden): Zusätzliche Daten Fehlerwert: 8524 Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden. ------------EoF sowie in im bereich Anwendungen ist ein error 1058 angezeigt mit folgendem inhalt Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=*,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\*.local\sysvol\*.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. -----------------EoF ich habe mir daraufhin die zugriffsrechte für die entsprechende richtline angeschaut folgende besitzer haben zugriff system - vollzugriff administratoren (domainadmin) - vollzugriff authenifizierter benutzer - lesen/ausführen; lesen; ordnerinhalte auflisten ersteller besitzer - keine rechte server-operator - lesen/ausführen; lesen; ordnerinhalte auflisten wenn ich mir die rechte von einer anderen richtline anschaue fehlen da so einige unter anderem der domain-administrator; domaincontroller der organisation; organisations-admins. ich vermute mal das ich die rechte nicht so einfach durch hinzufügen setzen kann - ODER?? hmm ich habe jetzt so viel wie möglich an infos gesammelt - gibt es noch welche die ich zur einschätzung des drames euch geben sollte? gruß und dank reik ps: ich habe das leider nicht in einem beitrag unter gekriegt - sorry Zitieren Link zu diesem Kommentar
reik 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 nochmal morgen, ich hab nochmal recherchiert - ob zum guten oder zum schlechten wollen wir erstmal sehen - und bin dabei auf diesen link gestoßen --> http://www.microsoft.com/windows2000/dns/tshoot/dns_tshoot2B.asp wird er mein problem erstmal lösen das ich die vermurkste domaine aus dem ad raus bekomme? so wie sich das für mich liest ja - aber nach gestern will ich mal lieber die leute fragen die damit besser umgehen können als ich. gruß reik Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Hi, Du kannst auch mit dem Programm NTDSUtil.exe arbeiten, um die Spuren zu beseitigen. Aber Du solltest den Umgang damit trainieren. Setz dir am besten 2 Virtuelle Maschinen auf, mit einem DC für eine Forest-Root-Domain und einem DC für eine Child-Domain. Da machst Du am besten das gleiche, was Du im produktiven Netz gemacht hast, versuchst wieder die Child-Domain zu löschen und falls es nicht geht, arbeitest du mit NTDSUtil. Hier mal ein paar Links: Deploying Regional Domains Das bezieht sich auf das erstellen von Child-Domains. und NTDSUtil Hier findest Du Hinweise zum Umgang mit diesem Tool. Falls Du Fragen hast, bitte hier weiter posten. Christoph Zitieren Link zu diesem Kommentar
reik 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 hi, ich konnte zumindestens den vermurksten server rausschmeissen mit ntdsutil. Z:\>repadmin /showreps Karower-Strasse\ADS2 DC Options: IS_GC Site Options: (none) DC object GUID: 082ecb10-8079-49c9-bed8-45bd252cf3ff DC invocationID: ec3c2142-8969-43e7-851e-4cca4e47dbb8 ==== INBOUND NEIGHBORS ====================================== DC=*,DC=local ***\ADS1 via RPC DC object GUID: 0bdc8279-41ef-430e-b956-72732c07fef6 Last attempt @ 2006-07-07 14:20:08 failed, result 8606 (0x219e): Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erste llen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht oder in die Samml ung veralteter Objekte aufgenommen wurde. 6396 consecutive failure(s). Last success @ 2006-06-29 18:01:37. CN=Configuration,DC=*,DC=local ***\ADS1 via RPC DC object GUID: 0bdc8279-41ef-430e-b956-72732c07fef6 Last attempt @ 2006-07-07 13:57:55 was successful. CN=Schema,CN=Configuration,DC=*,DC=local ***\ADS1 via RPC DC object GUID: 0bdc8279-41ef-430e-b956-72732c07fef6 Last attempt @ 2006-07-07 13:57:55 was successful. DC=DomainDnsZones,DC=*,DC=local ***\ADS1 via RPC DC object GUID: 0bdc8279-41ef-430e-b956-72732c07fef6 Last attempt @ 2006-07-07 13:57:55 was successful. DC=ForestDnsZones,DC=*,DC=local ***\ADS1 via RPC DC object GUID: 0bdc8279-41ef-430e-b956-72732c07fef6 Last attempt @ 2006-07-07 13:57:55 was successful. Source: ***\ADS1 ******* 6391 CONSECUTIVE FAILURES since 2006-06-29 18:01:37 Last error: 8606 (0x219e): Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erste llen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht oder in die Samml ung veralteter Objekte aufgenommen wurde. und in der ereignissanzeige kriege ich noch immer folgende meldung: Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=*,DC=local kann nicht zugegriffen werden. Die Datei muss im Pfad <\\*.local\sysvol\*.local\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini> vorhanden sein. (Zugriff verweigert ). Die Verarbeitung der Gruppenrichtlinie wird abgebrochen. die verhunsten domains sind noch immer in der netzwerkumgebung zu sehen. hmm tja hat doch noch jemand eine idee?? gruß reik Zitieren Link zu diesem Kommentar
reik 10 Geschrieben 8. Juli 2006 Autor Melden Teilen Geschrieben 8. Juli 2006 morgen liste, ich habe also mit NTDSUtil mein glück in der nun mittlerweile wohl vollständig verkorksten domaine probiert. die quasi leeren domains habe ich noch wegbekommen - auch die fehlermeldung das auf eine gruppenrichtline nicht zugegriffen werden kann - zumindestens ist das im augenblick der stand der dinge - aber ich kriege noch immer die schon viel zittierte meldung das er leere objekte nicht replizieren kann. (siehe weiter oben) nach einem neustart war diese zwar kurzzeitig weg aber nach einem replizierungsversuch waren sie wieder da ... hmm ich schätze mal ich habe irgendwas übersehen. aber ich weiss nicht an welcher schraube ich drehen müsste. hmm ich könnte mich noch wochenlang damit herrumärger aber ich komme wohl nicht weiter. meine datensicherung sichert den systemstand der server mit - und ich habe images. hmm die überlegung ist jetzt das ich diese nacheinander einspiele. ich würde mit dem ads1 (betriebsmaster) anfangen und versuchen die replikation hin zu kriegen, offensichtlich ist ja da das problem. und ggf. danach den ads2 nur um sicher zu gegen das wir den urzustand wieder hergestellt haben. und die zweite frage - ich habe ja einen betriebsmaster - was muss ich beachten wenn ich den zurück spiele? hmm wäre nett wenn ihr mir nochmal aus der klemme helft. gruß reik Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.