meldung am Server: Die angegebene Domäne ist nicht verfügbar

  • Guten Morgen zusammen,


    ich glaube es gibt hier ein kritisches Problem.


    U.a. vorhanden, zwei DCs Server 2003.


    Davon einer zusätzlich noch als Exchange.


    Vorhandene Probleme gestern:


    User konnten sich nicht richtig anmelden da das Profil nicht gefunden wurde, nslookup etc funktionierte jedoch.


    Profilverzeichnis auf IP umgestellt, dann funktionierten zumindest die Profile wieder.


    Zugriff auf den jeweiligen DC per \\Servername funktionierte auch nicht.
    Nur \\Serverip funktionierte.


    Dann stellte sich heraus dass es ein (oder mehrere) Replikationsproblem gibt.


    Darunter Dateireplikationsfehler mit der ID 13568


    Zudem nutze ich das Tool FRSDiag von MS welches mir bestätigte, dass die Replikation des 1.DC nicht funktioniert und brach ab mit der Meldung "RPC-Server nicht verfügbar".


    Zudem gab repadmin aus, dass "Der Zielkontenname ungültig" ist.


    Diese Nacht muss dann was passiert sein da ich nun nichtmal mehr auf den Server komme.


    Melde ich mich am Server an kommt die Meldung
    "Die angegebene Domäne ist nicht verfügbar".


    Ein Indiez dafür, finde ich, dass die Replikation doch funktioniert da ich mich an beiden DCs nicht anmelden kann.


    Jetzt tendiere ich stark zu irgendeinem Dienst (kann mir hier jemand verraten welcher dafür zuständig ist?) der sich abgeschossen hat o.ä.


    Dann noch die Frage: wie kann ich remote einen Dienst starten/neustarten?
    Es muss doch sowas gehen, oder?
    Irgendwie per cmd '\\Serverip net start Servicename'



    Hilfe wäre großartig.


    Grüße und vielen Dank,
    Daenni

    • Offizieller Beitrag
    Zitat


    Melde ich mich am Server an kommt die Meldung
    "Die angegebene Domäne ist nicht verfügbar".


    Aber die Anmeldung als "Administrator" tut es noch?


    Zitat


    Jetzt tendiere ich stark zu irgendeinem Dienst (kann mir hier jemand verraten welcher dafür zuständig ist?) der sich abgeschossen hat o.ä.


    Ich denke, das ist ein Problem mit der Namensauflösung. Das würde auch erklären, warum die Profile via IP erreichbar sind.


    Ich würde die betreffenen Rechner einmal komplett neustarten. Das geht im günstigsten Fall mit einem kurzen Druck auf den Austaster (Gehäuse), wenn das herunterfahren der Server per Hardware-Austaster nicht deaktiviert wurde.


    Ansonsten kann man mit "shutdown.exe /i" sehr komfortabel in der Grafik fremde Rechner beenden.


    Zitat


    Dann noch die Frage: wie kann ich remote einen Dienst starten/neustarten?
    Es muss doch sowas gehen, oder?
    Irgendwie per cmd '\\Serverip net start Servicename'


    Das mach der Befehl "sc" am besten.


    sc "servername" start "dienstname"

  • Die Probleme sind wohl gravierender als ich dachte.
    Der 1. DC wurde heute früh heruntergefahren, dadruch kam es vermutlich zu den Anmeldeschwierigkeiten am 2. DC.


    Doch das Problem folgte und macht es noch kritischer:


    1. DC wurde heruntergefahren und fährt nicht mehr hoch sondern startet immer dann neu bei der Meldung "Netzwerkverbindunegn werden vorbereitet".


    Ich werde nun vor Ort fahren und schauen was man im abgesicherten Modus machen kann.


    Ich habe die Befürchtung dass irgendwas fehlerhaftes diese Nacht repliziert wurde und nun beide DCs "infiziert" sind.


    Da dort sonst ein interner Admin beschäftigt ist (der dieses schon so übernommen hat) fangen wir bei 0 an...


    Melde mich gleich.


    Danke für den service!

  • Weiter im Text... etwas kuddelmuddel...


    Jetzt ist es wieder etwas ruhiger da die Server erstmal wieder laufen.


    Aber ich fange nochmal von vorne an:


    Gestern gab es das Problem, dass sich niemand an der Domain anmelden konnte.
    Das hatte, vermutlich, ein angehaltener "Anmeldedienst" verursacht der alle paar Stunden/Tage aussteigt.
    Ich vermute hier hinter dass es was mit dem defekten AD-Sync zu tun hat.


    Als Rat hat man dem "Ersatz-Admin" gegeben, dass er alle Server neustarten soll.


    Nun gut, dann gab es das Problem, dass die servergespeicherten Profile nicht geladen wurden.


    Es muss ein Namensaufklösungsproblem gewesen sein weil:


    1. Ping über Servername funktionierte nicht.
    2. Servergespeicherte Profile wurden nicht gefunden.


    Jedoch klappte nslookup etc.


    Dann fiel auf, dass die Replikation nicht funktioniert und die USN unterschiedlich sind.
    Daraufhin habe ich versucht rauszufinden woran es lag, u.a. mit dem FRSDiag.


    Zudem habe ich mit repadmin eine Sync getestet, dabei kam raus: "Der Ziel-Prinzipal Name ist falsch."


    Heute Früh dann der Super-GAU...


    Server fuhr nicht mehr hoch.
    Das hat eine defekte OnBoard-Netzwerkkarte verursacht.


    Benutzer konnten sich nicht anmelden.
    RPC-Server-Dienst stand auf Lokal und hat natürlich alle anderen Prozesse nicht starten lassen.
    Somit war der 1. DC UND gleichzeitig Fileserver.. tod.


    Mehrere Versuche es "so" zu reparieren schlugen fehl. Schlussendlich half nur das Acronis-Backup der Systempartition und nach der Rücksicherung funktionierte es wieder grob.


    Nun meine Frage: Wo ansetzen?
    Jetzt habe ich schon gelesen, dass man mit NTDSSUtil hantieren muss.
    Wie finde ich raus, welcher Server die Replik-Probleme macht bzw welcher der Aktuelle ist?


    Über Hilfe wäre ich dankbar.


    Ich danke euch,


    Daenni

    • Offizieller Beitrag

    Hallo,


    da hast du ein großes Problem:


    Zitat

    Mehrere Versuche es "so" zu reparieren schlugen fehl. Schlussendlich half nur das Acronis-Backup der Systempartition und nach der Rücksicherung funktionierte es wieder grob.


    Wenn der Server danach NICHT im abgesicherten Mode mit der Verzeichiswiederherstellung gestartet wurde ist jetzt mit 100%iger Sicherheit dein AD out-of-sync (war es allem Anschein nach vorher auch.


    Wenn du eine höhere USN mit älterem Zeitstempel hast, ist das Problem dieses:
    Possible Active Directory Inconsistency After You Restore a Domain Controller
    http://support.microsoft.com/kb/316829/en-us


    Siehe auch hier:


    http://allfaq.org/forums/t/94665.aspx


    Es gibt dazu auch noch einen Beitrag im Blog von Yussuf:


    http://blog.dikmenoglu.de/Images+Als+Sicherung.aspx


    Und der Link dazu zu MS KB:


    http://support.microsoft.com/kb/875495/en-us


    Ich hoffe, davon hilft was.


    Erfahrungsgemäß hilft es nur, den "kaputten" DC depromoten und anschließend neu in die Domäne aufnehmen.


    Ich bevorzuge in solchen Fällen die Neuinstallation nach dcpromo.


    :)

  • Sag mal Norbert... woher weißt Du das alles? :-o
    Ich nehme mal an folgende Log bestätigt deine Aussage und meine Vermutung?


    Ist dies auch der Grund weshalb alle Nase lang der Anmeldedienst pausiert und man diese neustarten muss?


    Hier mal ein Verzeichnisdienst Ereignislog des 1. DCs (der heute die Mucken gemacht hat)



    Ereignistyp: Fehler
    Ereignisquelle: NTDS Replication
    Ereigniskategorie: Replikation
    Ereigniskennung: 2095
    Datum: 10.08.2010
    Zeit: 16:27:25
    Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
    Computer: DC_01
    Beschreibung:
    Während einer Active Directory Replikationsanforderung hat der lokale Domänencontroller (DC) einen Remote-DC identifiziert, der Replikationsdaten von einem lokalen DC unter Verwendung bereits anerkannter USN-Nachverfolgungsnummern empfangen hat.

    Da der Remote-DC davon ausgeht, dass die eigene Active Directory-Datenbank aktueller ist als die des lokalen DCs, übernimmt der Remote-DC keine zukünftigen Änderungen für die eigene Kopie der Active Directory-Datenbank bzw. repliziert diese nicht an die direkten oder transitiven Replikationspartner, die aus dem lokalen DC entstammen.

    Wenn dieses Szenario nicht unverzüglich aufgelöst wird, resultiert dies in Inkonsistenzen der Active Directory-Datenbanken dieses Ursprungs-DCs und einem oder mehreren direkten oder transitiven Replikationspartnern. Insbesondere die Konsistenz von Benutzern, Computern und Vertrauensstellungen, deren Kennwörtern, Sicherheitsgruppen, Sicherheitsgruppenmitgliedschaften und andere Active Directory- Konfigurationsdaten kann variieren, wodurch die Möglichkeit der Anmeldung, der Objektsuche und die Ausführung anderer kritischer Operationen beeinflusst wird.


    Die wahrscheinlichste Ursache für diese Situation ist die unsachgemäße Wiederherstellung des Active Directory auf dem lokalen Domänencontroller.

    Benutzeraktionen:
    Wenn diese Situation durch die unsachgemäße oder nicht beabsichtigte Wiederherstellung, dann erzwingen Sie die Herabstufung des DCs.

    Remote-DC:
    8dc83bcc-2632-4836-b964-de24d84c1f00
    Partition:
    CN=Configuration,DC=cb,DC=de
    Vom Remote-DC gemeldete USN:
    3121233
    Vom lokalen DC gemeldete USN:
    3109441

    • Offizieller Beitrag

    Hallo,


    Zitat

    Ich nehme mal an folgende Log bestätigt deine Aussage und meine Vermutung?


    Jupp.


    Zitat

    Sag mal Norbert... woher weißt Du das alles?


    Wie du in meinem Profil sehen kannst, bin ich seit 1982 im Geschäft, also "etwas" länger.


    Da ich primär (jetzt) als Administartor und sekundär als Consultant tätig bin, habe ich schon eine Menge gesehen und erlebt.


    Jetzt musst du nur noch den "healthy" DC finden, dann den anderen herabstufen.


    Und bevor du fragst - es gibt KEINE andere Lösung!


    :)

    • Offizieller Beitrag
    Zitat


    Daenni schrieb:
    Sag mal Norbert... woher weißt Du das alles? :-o
    Ich nehme mal an folgende Log bestätigt deine Aussage und meine Vermutung?


    Na ja, es gibt einige häufig gemachte Fehler. Unsachgemäße Sicherungen und Restore gehören leider dazu.


    Das ganze sieht jetzt abschließend nach einem USN-Rollback aus. Den kannst Du *nicht* mit einem einfachen DCPROMO lösen.


    Das geht so:
    http://support.microsoft.com/kb/875495


    Ja, es ist ein wirklich langer Artikel, ist es aber auch ein wirklich schwerwiegendes Problem.


    Du solltest Du ASAP darum kümmern - weiter Problem sind sonst vorprogrammiert!

    • Offizieller Beitrag

    Hallo,



    robert - das meinte ich ja. Auf den KB habe ich in Post#5 schon hingewiesen.


    ;)

  • Hey ihr zwei, danke!


    Nun, ich habe es befürchtet und den Link kannte ich auch schon :-/


    Nun die Frage, wie findet man den DC raus, der die aktuellen Daten beinhaltet?


    Ist dort die USN entscheidend ?
    Ich bin nun, so jung ich bin, immer davon ausgegangen dass der PDC der jenige ist, der aktueller ist. :-/


    Habe das mal auf dem 1. DC ausgeführt 'Repadmin /showutdvec DC_01 dc=domain,dc=local' ?


    Caching GUIDs.
    ..
    2f060e4e-d3c1-446e-bac5-5d1ec62c5abc @ USN 1481284 @ Time 2007-07-12 20:50:22
    Standardname-des-ersten-Standorts\DC_01 @ USN 3109786 @ Time 2010-08-10 20:22
    :00
    Standardname-des-ersten-Standorts\DC_02 @ USN 2294662 @ Time 2010-08-06 20:00
    :06
    bcf705d7-ef8f-423e-8b9d-4d9189b9b59e @ USN 2564052 @ Time 2010-03-04 14:07:00
    d736fdaa-8513-4f0d-b08f-541b04d59d95 @ USN 2102914 @ Time 2007-12-27 16:13:19


    Ich hab nun erstmal nen Task erstellt der alle 5 Minuten den Netlogon-Dienst continued... immerhin funktioniert das..


    Ich denke ich muss nicht erwähnen dass sich dieses System wohl seit Jahren durch Flickschusterei am Leben hält...


    Zwei neue Dcs tun Not..