comping 10 Geschrieben 18. Juli 2007 Melden Teilen Geschrieben 18. Juli 2007 Hallo, ich weiß leider nicht mehr so richtig weiter. Ich arbeite nur als Hiwi an einem Uni-Institut und mache dort die Systemadministration und bin hier mit meinem Latein vorerst am Ende... Folgende Struktur: 1 kleine Netzwerkdomäne mit 3 W2k3-Servern ("server", "server01" und "server02"). "server" ist quasi der primäre Server, der zuerst da war und mit dem die Domäne xxx.local aufgebaut wurde. Später kam dann "server02" als zweiter DC für die Ausfallsicherheit hinzu. Anfang dieses Jahres kam eine neue Kiste mit besserer Hardware ("server01"), weswegen der olle "server02" herabgestuft worden ist und "server01" als zweiter DC in die Domäne gehängt worden ist. Die 5 FSMO-Rollen liegen alle bei "server" und er ist auch imho der einzige GC (bin mir gerade nicht hundertprozentig sicher). Folgendes Problem: Letzten Mittwoch gab es abends aus ungeklärten Gründen einen BlueScreen (MachineCheckException o.ä.) auf dem primären Server "server". Ich habe dann notgedrungen einen Hard-Reset durchgeführt und gebetet. Es schien auf den ersten Blick alles wieder zu laufen. Leider musste ich Donnerstag früh dann auch erstmal weg für vier Tage auf Dienstreise... So, seitdem ist das Netz irgendwie träge, bzw. die NTBackup-Sicherung dauert viel länger und hat zwischendurch sowas wie Aussetzer (so 2-3 Sekunden lang, wo sich anscheinend gar nix tut). Heute nacht hat sich dann anscheinend die Lage verschärft. Ich bekam heute morgen dann Anrufe, dass kein Netzwerkzugriff möglich sei. Im Endeffekt scheint irgendein DNS-Problem vorgelegen zu haben. Ich habe daraufhin den Server "server" neugestartet und seitdem können die Mitarbeiter jedenfalls wieder ins Netz. ABER: In den Ereignisanzeigen ist die Hölle los! Wie gesagt, ich bin kein Profi und hätte hier vermutlich auch schon längst aktiv werden müssen. Auf "server": ANWENDUNG: 53258 MSDTC erschien gestern nacht, erschien heute morgen und erschien auch letzten Mittwoch sowie davor in der Vergangenheit in unregelmäßigen Abständen (vlt. bei jedem Server-Neustart?) Fehlermeldung: Ereignistyp: WarnungEreignisquelle: MSDTC Ereigniskategorie: SVC Ereigniskennung: 53258 Datum: 18.07.2007 Zeit: 09:17:51 Benutzer: Nicht zutreffend Computer: SERVER Beschreibung: MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1804 No Callstack, CmdLine: C:\WINDOWS\system32\msdtc.exe Ereignistyp: Warnung Ereignisquelle: MSDTC Ereigniskategorie: SVC Ereigniskennung: 53258 Datum: 18.07.2007 Zeit: 09:17:51 Benutzer: Nicht zutreffend Computer: SERVER Beschreibung: MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: %1 SYSTEM: 3019 MrxSmb: Der Redirectordienst konnte den Verbindungstyp nicht erkennen. Das sagt mir nun leider gar nix. Zwischendurch gibt es Probleme mit der Zeitsynchronisation W32Time 47, ich vermute, dass es mit DNS zusammenhängt, dass er den Namen nicht aufgelöst kriegt... To be continued... Zitieren Link zu diesem Kommentar
comping 10 Geschrieben 18. Juli 2007 Autor Melden Teilen Geschrieben 18. Juli 2007 VERZEICHNISDIENST: Hier werden wenigstens keine Fehler/Warnungen sondern nur Informationen ausgegeben, weswegen ich hoffe, dass noch nicht alles im Eimer ist. 102,103,700,701,1000,1394,1404,1869 DNS-SERVER: Hier gab es am besagten letzten Mittwochabend zunächst einen 4015 und anschließend diverse 4004. Der Fehlercode ist jeweils leer... DATEIREPLIKATIONSDIENST: Letzten Mittwoch: Warnungen 13508 und 13509, sowie den Fehler 13568. Heute dann auch der 13568. Ereignistyp: FehlerEreignisquelle: NtFrs Ereigniskategorie: Keine Ereigniskennung: 13568 Datum: 11.07.2007 Zeit: 21:22:30 Benutzer: Nicht zutreffend Computer: SERVER Beschreibung: Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet. Name des Replikatsatzes : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" Replikatstammpfad : "c:\windows\sysvol\domain" Replikatstammvolume : "\\.\C:" n% Ein Replikatsatz stößt auf JRNL_WRAP_ERROR, wenn der Eintrag, von dem gelesen werden soll, nicht vom NTFS-USN-Journal gefunden wird. Mögliche Ursachen hierfür sind: n% [1] Volume "\\.\C:" wurde formatiert. [2] Das NTFS-USN-Journal auf Volume "\\.\C:" wurde gelöscht. [3] Das NTFS-USN-Journal auf Volume "\\.\C:" wurde abgeschnitten. Chkdsk kann das Journal abschneiden, falls es beschädigte Einträge am Ende des Journals vorfindet. [4] Der Dateireplikationsdienst wurde seit längerer Zeit auf diesem Computer nicht mehr ausgeführt. [5] Die Rate der Laufwerks-E/A-Aktivität auf "\\.\C:" war zu schnell für den Dateireplikationsdienst. Das Festlegen des Registrierungsparameters "Enable Journal Wrap Automatic Restore" auf 1 führt dazu, dass folgende Maßnahmen zum automatischen Beheben des Fehlerzustands vorgenommen werden. [1] Beim ersten Poll, der in 5 Minuten durchgeführt wird, wird dieser Computer vom Replikatsatz entfernt. Wenn Sie nicht 5 Minuten warten möchten, führen Sie "net stop ntfrs" aus, gefolgt von "net start ntfrs", um den Dateireplikationsdienst neu zu starten. [2] Beim auf die Löschung folgenden Poll wird der Computer erneut zum Replikatsatz hinzugefügt. Durch das erneute Hinzufügen wird eine vollständige Struktursynchronisierung für den Replikatsatz ausgelöst. WARNUNG: Während des Wiederherstellungsvorgangs sind Daten in der Replikatstruktur möglicherweise nicht verfügbar. Sie sollten den oben beschriebenen Registrierungsparameter auf 0 festlegen, um eine unerwartete Nichtverfügbarkeit von Daten durch die automatische Wiederherstellung zu verhindern, wenn dieser Fehlerzustand erneut auftritt. Führen Sie regedit aus, um diesen Registrierungsparameter zu ändern. Klicken Sie auf "Start", dann auf "Ausführen", und geben Sie dann "regedit" ein. Erweitern HKEY_LOCAL_MACHINE. Folgen Sie folgendem Pfad: "System\CurrentControlSet\Services\NtFrs\Parameters" Doppelklicken Sie auf den Namen des Wertes "Enable Journal Wrap Automatic Restore" und aktualisieren Sie den Wert. Ist der Name des Wertes nicht vorhanden, können Sie ihn mit dem Befehl "Neu" und dann "DWORD-Wert " im Menü "Bearbeiten" hinzufügen. Geben Sie den Wert genauso ein wie oben gezeigt. To be continued... Zitieren Link zu diesem Kommentar
comping 10 Geschrieben 18. Juli 2007 Autor Melden Teilen Geschrieben 18. Juli 2007 Zuvor kam es immer wieder mal zu 13508 und zu 13509. Außerdem auch zu der Information 13516 (NTFRS verhindert jetzt nicht mehr das Heraufstufen des Computer "server" zum DC. Der Systemdatenträger wurde erfolgreich initialisiert. Der Anmeldedienst wurde benachrichtigt, dass der Systemdatenträger jetzt als SYSVOL freigegeben werden kann.) die ich nun überhaupt nicht verstehe. Der Computer "server" ist doch schon längst ein DC! So, auf dem zweiten DC "server01" tauchen folgende Einträge in der Ereignisanzeige auf: ANWENDUNG: Letzten Donnerstag morgens um 5:00 Uhr: Warnung 53258 MSDTC. SYSTEM: Heute morgen ein 5719 Netlogon: Ereignistyp: FehlerEreignisquelle: NETLOGON Ereigniskategorie: Keine Ereigniskennung: 5719 Datum: 18.07.2007 Zeit: 09:19:19 Benutzer: Nicht zutreffend Computer: SERVER01 Beschreibung: Der Computer konnte eine sichere Sitzung mit einem Domänencontroller in der Domäne STAHLBAU aufgrund der folgenden Ursache: Der RPC-Server ist nicht verfügbar. nicht einrichten. Dies kann zu Authentifizierungsproblemen führen. Stellen Sie sicher, dass der Computer mit dem Netzwerk verbunden ist. Wenden Sie sich an den Domänenadministrator, wenn das Problem weiterhin besteht. ZUSÄTZLICHE INFORMATIONEN Wenn dieser Computer ein Domänencontroller der bestimmten Domäne ist, wird eine sichere Sitzung zum primären Domänencontrolleremulator in der bestimmten Domäne eingerichtet. Andernfalls richtet dieser Computer eine sichere Sitzung zu einem beliebigen Domänencontroller in der bestimmten Domäne ein. Außerdem zuvor diverse W32Time-Fehlermeldungen, dass die Zeitsynchronisation nicht mehr möglich sei mit dem anderen DC... (Fehler 29, Warnungen 24 udn 14). VERZEICHNISDIENST: Letzten Mittwoch einmal Warnung 2088, heute nacht 2088 und auch 1308. In der Vergangenheit kam es auch schon vereinzelt zu Fehler 2087 und zu Warnung 2088. DATEIREPLIKATIONSDIENST: Seit letzten Mittwoch täglich ein 13508, früher mal vereinzelt. So, ich lese natürlich nebenbei auch und benutze auch die Boardsuche, aber ich trau mich nicht, einfach so die Tipps und Hinweise aus anderen Beiträgen anzuwenden, da das System natürlich absolut produktiv ist! Daher wäre es super, wenn ihr mir weiterhelfen könnt! Sollte etwas unklar sein, oder ihr weitere Infos brauchen, nur zu... Vielen herzlichen Dank schon mal für jegliche Hilfe! Stefan Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 18. Juli 2007 Melden Teilen Geschrieben 18. Juli 2007 Servus, fangen wir mal Step-by-Step an. Der Fehler 13568 ist einer der beseitigt werden muss. Die Fehler 13508+13509 sind Folge-Fehler dessen. Wenn also der Fehler 13568 behoben ist, lösen sich die beiden anderen von alleine. Für den Fehler 13568 lies dir diesen Artikel durch: Yusuf`s Directory - Blog - Dateireplikationsfehler mit der ID 13568 Für den Fehler 53258 führe diesen Artikel durch: Event ID 53258 wird in Ereignisanzeige protokolliert, nachdem Sie Active Directory in Windows Server 2003 installieren oder entfernen Zitieren Link zu diesem Kommentar
comping 10 Geschrieben 18. Juli 2007 Autor Melden Teilen Geschrieben 18. Juli 2007 Hallo Daim, zunächst einmal: Ganz herzlichen Dank für Deine Hilfe! :o Ich habe mich nun zunächst des 13568 angenommen und bin Deine Liste durchgegangen. Ich habe das SYSVOL zunächst untersucht - auf beiden DC vorhanden und freigegeben und vollständig. Junction Point auf "server" war gesetzt. ntfrs auf beiden gestoppt. "server" auf D4 gesetzt, "server01" auf D2. ntfrs auf "server" gestartet. Auf "server" alles wunderbar, 13516 kam recht zügig. ntfrs auf "server01" gestartet. Auf "server01" kommen 13501,13554,13565,13520,13553. Einige Sekunden danach kommt auf "server" ein 13508. Ca. drei Minuten später auf server01 der ersehnte 13516 und einige Sekunden danach auf server ein 13509. Ist das nun ok so? Oder muss ich mir da weiter Sorgen machen? Sorry für meine Unwissenheit... :( Danke, Stefan Zitieren Link zu diesem Kommentar
comping 10 Geschrieben 18. Juli 2007 Autor Melden Teilen Geschrieben 18. Juli 2007 Hallo Daim, habe nun mal FRS-Diag laufen lassen. Für die Kiste "server" spuckt er folgendes aus: :( ------------------------------------------------------------FRSDiag v1.7 on 18.07.2007 14:33:23 .\SERVER on 2007-07-18 at 14.33.23 ------------------------------------------------------------ Detecting this machine's domain role ... Domain Controller (PDC) Processing File Replication Service Event Log... 216 items.............Done! Processing Application Event Log... 1000 items.............Done! Processing System Event Log... 1000 items.............Done! Processing Directory Service Event Log... 1000 items.............Done! Processing DNS Server Event Log... 203 items.............Done! Processing ntfrsutl Version....Done! Processing ntfrsutl ds.....Done! Processing ntfrsutl sets.....(Creating connstat...Done!)...Done! Processing ntfrsutl configtable.....(Dumping SYSVOL.....Done)...Done! Processing ntfrsutl inlog....Done! Processing ntfrsutl outlog....Done! Processing ntfrsutl stage....Done! Processing NTFRS Debug Logs ... NtFrs_0001.log(18.07.2007 01:23:29) ... Done NtFrs_0002.log(18.07.2007 09:14:12) ... Done NtFrs_0003.log(18.07.2007 13:42:17) ... Done NtFrs_0004.log(18.07.2007 13:49:18) ... Done NtFrs_0005.log(18.07.2007 14:30:03) ... Done ... Done with all logs! Processing Services and Shares check...Done! Processing Registry Dump of NtFrs related Keys ...Done! Processing repadmin /showreps....Done! Processing repadmin /showconn....Done! All Done! Bei server01: ------------------------------------------------------------FRSDiag v1.7 on 18.07.2007 14:38:57 .\server01 on 2007-07-18 at 14.38.57 ------------------------------------------------------------ Detecting this machine's domain role ... Domain Controller Processing File Replication Service Event Log... 52 items.............Done! Processing Application Event Log... 600 items.............Done! Processing System Event Log... 1000 items.............Done! Processing Directory Service Event Log... 807 items.............Done! Processing DNS Server Event Log... 18 items...Done! Processing ntfrsutl Version....Done! Processing ntfrsutl ds.....Done! Processing ntfrsutl sets.....(Creating connstat...Done!)...Done! Processing ntfrsutl configtable.....(Dumping SYSVOL.....Done)...Done! Processing ntfrsutl inlog....Done! Processing ntfrsutl outlog.....Done! Processing ntfrsutl stage....Done! Processing NTFRS Debug Logs ... NtFrs_0001.log(12.07.2007 05:08:37) ... Done NtFrs_0002.log(17.07.2007 18:10:49) ... Done NtFrs_0003.log(18.07.2007 13:42:40) ... Done NtFrs_0004.log(18.07.2007 13:49:42) ... Done NtFrs_0005.log(18.07.2007 14:36:32) ... Done ... Done with all logs! Processing Services and Shares check...Done! Processing Registry Dump of NtFrs related Keys ...Done! Processing repadmin /showreps....Done! Processing repadmin /showconn....Done! All Done! Die ausführlichere Beschreibung habe ich jeweils als Anlage angefügt.Wenn ich das richtig erkenne, ist da noch einiges im Argen, oder? DANKE, Stefan Server_FRSDiag.txt Server01_FRSDiag.txt Zitieren Link zu diesem Kommentar
comping 10 Geschrieben 18. Juli 2007 Autor Melden Teilen Geschrieben 18. Juli 2007 Hallo, Deine Hinweise zu 53258 habe ich befolgt. Schien auch erfolgreich zu sein, der DC teilte mir mit 4143 mit, dass MS DTC erkannt hätte, dass seit dem letzten MSDTC-Start ein DC höhergestuft worden sei. Anschließend MS DTC wieder auf Ursprungskonfig. gesetzt und neu gestartet. Also auf beiden DCs jetzt hoffentlich in Ordnung. Mit dem FRS-Diag weiß ich gerade nicht weiter. Die Anhänge müssen anscheinend erst von nem Moderator freigegeben werden. Das Protokoll erzählt mir u.a. dass die JunctionPoints nicht gesetzt seien für c:\windows\sysvol\sysvol und c:\windows\sysvol\staging areas Ich habe daraufhin nochmal geprüft mit linkd c:\windows\sysvol\sysvol\XXX.local und er gibt mir zurück, dass obiger Pfad mit c:\windows\sysvol\domain verbunden sei... Ist das nun richtig oder nicht? Vielen Dank, Stefan Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 18. Juli 2007 Melden Teilen Geschrieben 18. Juli 2007 Ist das Dateireplikations-Protokoll nun sauber oder erscheinen dort immer noch regelmäßig Fehler? Du kannst auch zum TEst den NTFRS Dienst stoppen und neu starten. Gehe dazu in die Kommandozeile und führe folgendes aus "net stop ntfrs && net start ntfrs". Kontrolliere danach das Dateireplikations-Protokoll ob Fehler auftauchen. Hast du geprüft (evtl. mit dem Tool Junction Link Magic) ob die Junction Points tatsächlich existieren? Gehe auch die weiterführenden Artikel in dem Link den ich gepostet habe nach. Die Junction Ponts müssen alle korrekt existieren. Zitieren Link zu diesem Kommentar
comping 10 Geschrieben 18. Juli 2007 Autor Melden Teilen Geschrieben 18. Juli 2007 Hallo Daim, beide DCs geben keine Fehler in der Ereignisanzeige Dateireplikationsdienst mehr von sich. Da erscheint bloß "angehalten" "neu gestartet" und der 16er "Freigegeben für DC-Aktivitäten...". Das ist ja schon mal super :cool: Ich überprüfe die JunctionPoints noch mal alle individuell und manuell. Danke, Stefan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.