Probleme mit AD

TheFragger · 20. Februar 2010

Hi Community,

ich habe mit 2 AD Servern ein etwas größeres Problem.

Zum einen funktioniert die Replikation nicht mehr (Ereignis 13508), dann bringt der 2te DC unter Betriebsmaster "Fehler".

Beim 2ten DC ist die Ereignisanzeige "Anwendung" voll mit Sachen wie:

Code

"Der Benutzer oder der Computername kann nicht ermittelt werden. (Der Zielprinzipalname ist falsch. ). Die Verarbeitung der Gruppenrichtlinie wurde abgebrochen."

oder

Code

"Auf die Datei gpt.ini des Gruppenrichtlinienobjekts CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=praxis,DC=local kann nicht zugegriffen werden.".

Und mann kann auf die Server nicht mehr über den UNC Pfad zugreifen, sondern nur noch über IP.

Dcdiag auf dem Betriebsmaster bringt 1 Fehler:

Code

SERRVER failed test frsevent

Netdiag zeigt keine Fehler.

2ter DC bringt bei Dcdiag folgende Fehler:

Code

Testing server: Standardname-des-ersten-Standorts\SWYX-SERVER
   Starting test: Replications
      [Replications Check,SWYX-SERVER] A recent replication attempt failed:
         From SERVER to SWYX-SERVER
         Naming Context: CN=Schema,CN=Configuration,DC=praxis,DC=local
         The replication generated an error (-2146893022):
         Der Zielprinzipalname ist falsch.
         The failure occurred at 2010-02-20 10:58:21.
         The last success occurred at 2010-02-20 01:58:19.
         9 failures have occurred since the last success.
      [SERVER] DsBindWithSpnEx() failed with error -2146893022,
      Der Zielprinzipalname ist falsch..
      [Replications Check,SWYX-SERVER] A recent replication attempt failed:
         From SERVER to SWYX-SERVER
         Naming Context: CN=Configuration,DC=praxis,DC=local
         The replication generated an error (-2146893022):
         Der Zielprinzipalname ist falsch.
         The failure occurred at 2010-02-20 10:58:21.
         The last success occurred at 2010-02-20 01:58:19.
         11 failures have occurred since the last success.
      [Replications Check,SWYX-SERVER] A recent replication attempt failed:
         From SERVER to SWYX-SERVER
         Naming Context: DC=praxis,DC=local
         The replication generated an error (-2146893022):
         Der Zielprinzipalname ist falsch.
         The failure occurred at 2010-02-20 11:27:19.
         The last success occurred at 2010-01-26 14:42:36.
         30163 failures have occurred since the last success.
      REPLICATION-RECEIVED LATENCY WARNING
      SWYX-SERVER:  Current time is 2010-02-20 11:36:35.
         DC=praxis,DC=local
            Last replication recieved from SERVER at 2008-01-26 14:42:36.
            WARNING:  This latency is over the Tombstone Lifetime of 180 days


      ......................... SWYX-SERVER passed test Replications
   Starting test: NCSecDesc
      ......................... SWYX-SERVER passed test NCSecDesc
   Starting test: NetLogons
      ......................... SWYX-SERVER passed test NetLogons
   Starting test: Advertising
      ......................... SWYX-SERVER passed test Advertising
   Starting test: KnowsOfRoleHolders
      Warning: SERVER is the Schema Owner, but is not responding to DS RPC Bi


      [SERVER] LDAP bind failed with error 8341,
      Ein Verzeichnisdienstfehler ist aufgetreten..
      Warning: SERVER is the Schema Owner, but is not responding to LDAP Bind


      Warning: SERVER is the Domain Owner, but is not responding to DS RPC Bi


      Warning: SERVER is the Domain Owner, but is not responding to LDAP Bind


      Warning: SERVER is the PDC Owner, but is not responding to DS RPC Bind.


      Warning: SERVER is the PDC Owner, but is not responding to LDAP Bind.
      Warning: SERVER is the Rid Owner, but is not responding to DS RPC Bind.


      Warning: SERVER is the Rid Owner, but is not responding to LDAP Bind.
      Warning: SERVER is the Infrastructure Update Owner, but is not respondi
to DS RPC Bind.
      Warning: SERVER is the Infrastructure Update Owner, but is not respondi
to LDAP Bind.
      ......................... SWYX-SERVER failed test KnowsOfRoleHolders
   Starting test: RidManager
      ......................... SWYX-SERVER failed test RidManager

Alles anzeigen

Habe schon nach allem gegoogelt, aber komme irgendwie nicht weiter.

Könnt ihr mir helfen ?

RobertW · 20. Februar 2010

Moin,

bei der Angabe der Event-ID wäre auch die Angabe der Quelle schön, da es diese ID mindestens 2 Mal gibt:

http://www.eventid.net/display.asp?eventid=13508&source=

Ich denke, Du hast grundsätzlich ein Namensauflösungsproblem (so wie in 90% aller AD Probleme). Darauf deutet die Event-ID hin.

Außerdem besteht das Problem schon sehr lange, und zwar länger als 180 Tage. Darauf weist der folgende Satz in DCDiag hin: "WARNING: This latency is over the Tombstone Lifetime of 180 days"

Du musst nun folgendes tun:
1. Das Namensauflösungsproblem beheben.
2. Die Replikation wieder in Gang bekommen. Das ist bei DCs die nicht innerhalb der Tombstone-Lebensdauer replizieren konnten, bedingt durch das Multi-Master-Replikationsprinzip von AD relativ schwer: http://technet.microsoft.com/e…/cc786630%28WS.10%29.aspx

Genau lesen und auch die Links darin durchgehen!

Eventuell wäre die einfachste Möglichkeit, die DCs "hart" zu entfernen und neu aufzusetzen: http://support.microsoft.com/kb/875495 (Abschnitt Wiederherstellung - der KB-Artikel ist NICHT Dein Fehler, aber eventuell eine Lösung!!!)

TheFragger · 20. Februar 2010

Hi,

die Quelle zum EventID ist Ntfrs.

zur Namensauflösung.

Beide Server können die Namen auflösen. Nslookup funktioniert auch !

Werde mal gucken, wie ich mit deinem Link zurecht komme :-?

RobertW · 20. Februar 2010

Na dann lies Dir auch die Texte hierzu durch:

http://www.eventid.net/display…=349&source=NtFrs&phase=1

Such Dir auch die KB-Artikel raus (ohne Abo kann man bei Eventid.net nur manuell mit Copy&Paste arbeiten) und schau nach, ob Du da was findest.

TheFragger · 20. Februar 2010

Mal ganz einfach, könnte es was bringen, wenn ich den 2ten DC runterstufe und danach wieder hochstufe ?

RobertW · 20. Februar 2010

Moin,

ganz einfach: Du wirst ihn nicht herunterstufen können. Wenn es ein Replikationsproblem gibt, verweigert DCPROMO eine saubere Herunterstufung, da es dieses ja nicht Replizieren kann.

Im KB-Artikel 875495 (Link in meinem Post oben) gibt es einen Abschnitt, wie man einen DC "hart" herunterstuft und die Reste aus AD entfernt.

TheFragger · 20. Februar 2010

Hi,

also habe nun den 2ten DC mit dcpromo /forceremoval runtergestuft und metadata cleanup durchgeführt.

Nun sind alle Fehler verschwunden bis auf 1 Ntfrs 13508.
Aber dort steht ja drin als 2 Ursache: "Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domnencontrollern repliziert.", hoffe das ist auch dies und der Fehler verschwindet auch noch.
Werde das mal beobachten !

Gruß
Fragger

TheFragger · 21. Februar 2010

Moin,

also auf dem 2ten jetzt ja neu hochgestuften Server, ist unter Dateireplikation der letzte Eintrag von gestern (NtFrs 13509). Alle anderen Ereignisse zeigen keine Fehler mehr.

Habe auf diesem jetzt noch aber ein Dcdiag gemacht und da noch ein Fehler gefunden.

Code

Testing server: Standardname-des-ersten-Standorts\SWYX-SERVER     Starting test: Connectivity        The host 553f2c6d-c2a1-4d19-841c-a9a053c57003._msdcs.praxis.local could ot be resolved to an        IP address.  Check the DNS server, DHCP, server name, etc        Although the Guid DNS name        (553f2c6d-c2a1-4d19-841c-a9a053c57003._msdcs.praxis.local) couldn't be        resolved, the server name (swyx-server) resolved to the IP address        (192.168.1.100) and was pingable.  Check that the IP address is        registered correctly with the DNS server.        ......................... SWYX-SERVER failed test Connectivity

.

Was mir aufgefallen ist, dass der Swyx vorhin im DNS unter "Nameserver" mit eingetragen war und jetzt nicht mehr. Muss er dort auch wieder rein ?

Was mir noch aufgefallen ist, ist das bei Forward-Lookupzone, ein Zone drin ist, die nur "praxis" heisst und dort nur die 2 Server als (NS) Eintrag und als (SOA).
Stimmt diese Zone überhaupt ? Denn die richtige heisst "praxis.loacl".

Gruß
Fragger

Probleme mit AD

Teilen

Benutzer online in diesem Thema