Jump to content

Replikationsprobleme - DNS Fehler


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

ich habe jetzt Wochenenddienst und der Chef ist auch noch bis kommenden Donnerstag außer

Haus.

Gestern wurde ich zum Kunden gerufen, der seit einigen Wochen (genau kann er nicht mehr sagen)

reihenweise Fehlermeldungen erhält.

Bevor ich auf die Meldungen eingehe, erst einmal ein paar Infos vorneweg:

Bestehender Forest mit insgesamt 4 DC. Allesamt Windows 2003 Standard Server SP1 alle

Patches und Updates über WSUS. Statische IP Adressen; WINS Server alle DC.

Aufbau der Domäne: firma1.local; Adressbereich 192.168.0.1/ Netzmaske 21

Anzal DC:3 DNS Name: host1.firma1.loacl, host2...., host3...

Untergeordnete Domäne im selben Stamm Name: host4.firma2.firma1.local

Host1 = Fileserver und GC

Host2 = Exchange Server und GC

Host3 = Backup Server

Untergeordnet: Host4 = Tobit David 8.0

Dazu noch 2 Linux Server mit Kerberos Fehler (Verlust zu AD...)

Domänenstruktur seit Juli 2005 fehlerfrei bis etwa vor 4 Wochen.

Seit dieser Zeit Fehlermeldungen des Fileservers:

- Netlogon 5719 -> Domänencontroller zu Host4 (David)

- NTDS 1863 -> Replikation zu host4.firma2.firma1.local konnte nicht replizieren

- NTDS 1863 -> Forest DNSZone und Schema und Configuration Fehler

 

Fehlermeldungen des Exchange Servers:

- NTDS 1960 RPC Verbindung zu Host 4 über die Alias Kennung "dc5335...." fehlgeschlagen

- NTDS 2088 Active Directory DNS konnte nicht... möglicherweise über WINS....

- NTDS KCC 1104 Fehler zum Alias Host 4 David "dc5335....Änderungsberechtigungen

 

Die Anmeldung von Usern aus firma1.local an firma2 dauern ewig lange, klappt aber noch.

Mappings jedoch melden meist Fehler, auch Druckermappings.

Der Versuch einer manuellen Replikation scheitert mit der Fehlermeldung "DC nicht gefunden

oder mit der Meldung "Es stehen keine Anmeldeserver zur Verfügung...."

NTDS Berechtigungen können innerhalb der Struktur nicht mehr ausgelesen werden, demnach

keine neuen mehr vergeben werden.

Bereits vergebene Berechtigungen werden jedoch problemlos abgearbeitet.

Netdiag / Dcdiag durchgeführt. Der Domänencontroller für diese Domäne firma2 wurde nicht

gefunden.

Netdiag meldet: RPC SErver für firma2 wurde nicht gefunden.

FRSDIAG meldet etwa 14000 Probleme.

 

Nach dcdiag /fix rduziert frsdiag auf geringe 173 Probleme, ohne dass dadurch die Meldungen

weniger werden. Diese betreffen alle RPC.

 

Die Admins studieren seit Wochen alle Foren und Artikel. Jetzt soll ich helfen oder einen

Beitrag leisten!?

Was ist die Einschätzung der Experten hier?

Meine Meinung will ich auch kundtun. Alle Versuche, egal wo ich jemals gearbeitet haben,

zeigen klar darauf hin, die Domäne firma2 zu demoten und wieder hochzuheben. Mit allen

Konsequenzen (AD, David Neuinstallation usw...) Was gäbe es sonst noch? Ich habe keinen Plan mehr.

Link zu diesem Kommentar
Sch....

 

was ist mit einem systemrecovery mit backup von einem Zeitpunkt wo alles schickwar und dann eine nicht authorisiernde wieder herstellung?

 

Na ja, das hat außer einigem Ärger mit der Verzeichniswiederherstellung (Admin des Unternehmens) nichts gebracht. Wir gehen allesamt von einem typischen AD/DNS Fehler aus.

Wo immer ich auch gelesen habe, gibt es viele Mitteilungen was man alles überprüfen kann, aber letztlich steht dann als Empfehlung immer, mach den Dc platt.

Allerdings sind zu diesem Thema tausende von Threads zu lesen. Offensichtlich ist die Anlage von AD und DNS bei MS hier zu wenig fehlertolerant - wie immer das auch bezeichnen soll.. Seitens MS gibt es auch keine Reparaturmöglichkeiten außer den Holzhammer. Da wäre noch Bedarf. Oder - wie siehst Du das?

Link zu diesem Kommentar

Kann dir zustimmen würde mit meine bisherigen Verständnis es so machen um das GAU den du erlebt hast zu minimieren.

 

Unbedingt 2. DC in Subdomain (um aus zuschließen, das repl-probs des einzigen dc mit AD bzw repl-partnern (DC)in der root domain die Ursache ist).

 

Optional 3. DC aus Subdomain in der Site der Rootdomain damit hast größtmöglich ausgeschlossen die erstellten AD objekte für den defekten dc in Subdomain zu recovern (incl. Brand im Serverraum der Subdomain) denn notfalls sind die Daten von Rootdomain Standort nach Subdomainstandort mittels cd übertragen (vorrausgesetzt du hast im Normalbetrieb ein moderates Replikationsverhalten zwischen den Domänen)

 

Ich weiß Kostet alles Geld. aber stell mal die Ausfallzeiten in Kosten da, die die Mitarbeiter nicht produktiv waren seit die Subdomain weg war und die Investeitionskosten für die oben beschriebenen Maßnahmen gegenüber und ich würde sagen isn Spottpreis 2neu DC incl Betriebssystem

 

Was sagen den die leistungsdaten deiner Server können die Noch Virtuellen Server incl VM vertragen?

Wenn ja Installieren in einer VM die zusätzlichen DC.

Is nicht die Superlösung

Denn wir wissen was unsere Chefs sagen:" Machen Sie das es geht, Nur kosten soll es nichts":wink2:

Link zu diesem Kommentar

Danke,

aber erst einmal darf ich dort überhaupt nichts machen, sondern soll Vorschläge unterbreiten.

Diskutiert wurde, einen neuen Host für die Unterdomäne zu erstellen, zu übertragen was zu übertragen ist, dann David neu aufsetzen.

Anschliesßend mal einige Tage testen und wenn alles OK, dann wieder zum DC hochzusturfen. Leider wird ja dann der "alte" nicht mehr gebraucht. Da die Benennung des DC dann nicht mehr möglich ist, müssen alle Zeiger auf der Root Domäne (Mappings usw.) neu angepasst werden. Da wollen die gerne von mir hören, wie daszu vermeiden wäre. ERstmalig sprach ein Kunde nicht nur vom Geld was das kosten wird, sondern davon wie viel Arbeit das ist.

Und ich habe keinen Plan, möchte aber gerne beim Meeting am Montag etwas an Vorschägen für meinen Bereichsleiter vorweisen können.

Ich glaube nur, damit ist es Essig!

Hätte ich doch nur was richtiges gelernt.

Link zu diesem Kommentar
Warum nicht mußt nur den Host/objekt aus der AD datenbank rauskriegen

 

Weitere Infos bitte hier im Forum suchen oder ein Anderer klinkt sich ein

Hi giffy,

daeteiligten schon klar. ES geht einfach um den Aufwand der damit verbunden ist. Mir selbst war von vornehherein klar, dass die Bereinigung mit adsiedit erfolgen muss. Ich hatte mit dem Snapin bisher keine Probleme, jedoch muss es bei diesem Unternehmen schon mal zu Ärger damit gekommen sein.

Wohl gemerkt, die Admins dort sind keine Turnschuh- oderFreizeitadmins. Die beherrschen das gEschäft ganz gut, wollen aber an solche Sachen nicht gerne dran, da etwas immer zurückbleibt und möglicherweise von Hand viel zu löschen sein wird (DNS usw.).

Kannst Du die Sorgen der Leute - und natürlich meine - verstehen?

Link zu diesem Kommentar

Yep

aber mein großer Dicker Bauch grummelt

Ist irgend etwas am Routing geändert worden bzw ist dort irgend etwas an den aktiven Komponenten gewechselt worden, so das die Replikation der DC unterbrochen wurde?

Oder wurde an der AD-Datenbank gespielt. Das läßt sich zwar der Sachverhalt des nicht mehr funktionsfähigen Servers nicht ändern aber dann sollte man vielleicht die Überwachung Objektzugriff im AD verschärfen

Ist die Tobit David 8.0 Appl. in der vergangenen zeit mit updates versehen worden?

Wenn ich dich Richtig verstanden habe, hat es gedauert bis bis der Kunde bis zu euch hin eskaliert hat?

 

In diese Richtung würde ich mein Konzept für den Kunden bringen: In Richtung Consulting der Sicherheitskonzeptes lenken, mit Option auf zusätzliche Hardware für zusätzlichen DC.

 

Hoffe es ist o.k wenn ich das so sage und du fühlst dich nicht angemacht ???

Link zu diesem Kommentar
Yep

aber mein großer Dicker Bauch grummelt

Ist irgend etwas am Routing geändert worden bzw ist dort irgend etwas an den aktiven Komponenten gewechselt worden, so das die Replikation der DC unterbrochen wurde?

 

Hi giffy,

das ist absolut sicher. Hier wurde nichts geändert oder gedreht.

 

Ist irgend etwas am Routing geändert worden bzw ist dort irgend etwas an den aktiven Komponenten gewechselt worden, so das die Replikation der DC unterbrochen wurde?

Antwort auch hier: Keine Änderungen. Nur Backup, als alles schon im Eimer war. Firma meint ja immer, never running.....

 

Oder wurde an der AD-Datenbank gespielt. Das läßt sich zwar der Sachverhalt des nicht mehr funktionsfähigen Servers nicht ändern aber dann sollte man vielleicht die Überwachung Objektzugriff im AD verschärfen

 

Das wurde mir gegenüber ausgeschlossen.

 

Ist die Tobit David 8.0 Appl. in der vergangenen zeit mit updates versehen worden?

 

Keine Updates von Tobit. Lediglich die vom MS Patchday und dann soll das irgend wann direkt darauf angefangen haben, was anhand der Ereignisanzeige festgestellt wurde.

 

Wenn ich dich Richtig verstanden habe, hat es gedauert bis bis der Kunde bis zu euch hin eskaliert hat?

 

In diese Richtung würde ich mein Konzept für den Kunden bringen: In Richtung Consulting der Sicherheitskonzeptes lenken, mit Option auf zusätzliche Hardware für zusätzlichen DC.

 

Hoffe es ist o.k wenn ich das so sage und du fühlst dich nicht angemacht ???

 

Mit der Kritik kann ich schon alleine deshalb leben, weil ich dort letzte Woche das erste mal war. Vorher war ein andere Dienstleister drin, also ich - oder mein Arbeitgeber - ist völlig unbefleckt. Warum der nicht mehr im Spiel ist Null Ahnung. Ich hab auch nicht gefragt.

Habe aber heute morgen erfahren, dass der alte Dienster nur auf spezielle Anforderungen kommen durfte. Die Stimmung in dem Laden (ich will das mal vorsichtig ausdrücken) schwankt von absoluter Angst vor den Vorgesetzten bis zu devotem Verhalten wenn von denen einer anwesend ist. Mann, ich bin immer froh, wenn ich in einer solchen Firma (von außen und ausrüstungstechnisch alles erste Sahne) nichts anfassen muss.:shock:

Link zu diesem Kommentar

Kannst du sowohl die Root von der SUbdomäne, als auch umgekehrt über DNS auflösen?

 

Wenn ja, dann überprüf mal mit PortqueryUI, ob die relevanten Ports offen sind. Sollte beides der Fall sein, sehen wir weiter, ich denke aber, dass da irgendwo der Hase begraben liegt.

 

Btw. habe ich nicht das Gefühl, dass die Admins ihr Geschäft beherrschen, sonst gäbs 2 DCs/Domäne, zur Not eben ein ältlicher PC.

Ihr solltet auf alle Fälle den DC nicht rauswerfen, bevor kein neuer da ist, weil du sonst die Domäne killst.

 

Mein Vorschlag zum weiteren Vorgehen, wenn obiges nichts ergibt, wäre:

 

-Versuchen neuen DC hinzuzufügen.

-Alten DC herunterstufen, wenns nicht klappt plattmachen

-Alten DC mit NTDSUtil (nicht mit Adsiedit) rauswerfen

-Alten DC unter indentischem Namen neu aufsetzen

 

 

Gruß

 

woiza

Link zu diesem Kommentar
Kannst du sowohl die Root von der SUbdomäne, als auch umgekehrt über DNS auflösen?

Ja das klappt seit heute mittag wieder einwandfrei. Weiß der Deifel wie das wieder zustande gekommen ist. Der Papst war ja noch nicht da.

Die Namensauflösung über lookup war ebenfalls wochenlang tot. Nur noch eines ist merkwürdig, daß die Auflösung nur mit dem Alias angezeigt wird. Das habe ich so noch nie gesehen oder liege ich da vielleicht falsch?

 

Wenn ja, dann überprüf mal mit PortqueryUI, ob die relevanten Ports offen sind. Sollte beides der Fall sein, sehen wir weiter, ich denke aber, dass da irgendwo der Hase begraben liegt.

werde ich dann versuchen wenn ich nächste Woche wieder dort bin.

 

Btw. habe ich nicht das Gefühl, dass die Admins ihr Geschäft beherrschen, sonst gäbs 2 DCs/Domäne, zur Not eben ein ältlicher PC.

Ihr solltet auf alle Fälle den DC nicht rauswerfen, bevor kein neuer da ist, weil du sonst die Domäne killst.

Daran daß nur 1 DC da ist, liegt daran, daß für diesen Bereich des Unternehmens zur Zeit nichts gemacht wird. Da soll im Zuge einer Umstellung der David möglicherweise kompett rausfallen. Die Entscheidung ist noch nicht getroffen. Und wie bei allen Unternehmen heutzutage dauern Entscheidungen in der IT deutlich länger als die Neubestellung eines großvolumigen Wagens für den GF.

Wegen dem Domänenkill ist mir ja angst und bange. Daher war heute morgen beim Kunden nochmals Detailerörterung mit anschließender Vertagung auf nächste Woche, weil der GF diese Woche nicht mehr da ist und der zweite interessiert sich nicht für solche Sachen.

 

Mein Vorschlag zum weiteren Vorgehen, wenn obiges nichts ergibt, wäre:

 

-Versuchen neuen DC hinzuzufügen.

-Alten DC herunterstufen, wenns nicht klappt plattmachen

-Alten DC mit NTDSUtil (nicht mit Adsiedit) rauswerfen

-Alten DC unter indentischem Namen neu aufsetzen

Ntdsutil habe ich auch gemeint und nicht adsiedit. Sorry:confused:

 

Ich danke Dir für die Überlegungen. Die decken sich mit meinen Vorstellungen. Kommt noch drauf an, was mein Bereichsleiter und der Kunde sagt, denn machen wollen die das nicht selber (habe jetzt schon freuchte Hände wegen der Stimmung dort).

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...