Zugriffsprobleme auf AD
Matthias Schulz
Betriebsmasters.
- der weitere Betriebsmaster kann keine Serverliste vom Server erhalten
Fehlermeldung Ereignistyp: Warnung
Ereignisquelle: BROWSER
Ereigniskennung: 8021
Computer: SB1
Beschreibung:
Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "\\SB2" auf dem
Netzwerk "\Device\NetBT_Tcpip_{2D0819A8-A7FC-4192-B56C-22BB153B9520}"
erhalten. Daten: Fehlercode.
Daten:
0000: 35 00 00 00 5...
- die W2k Workstationen können die Host-SPNs und die Host-DNS im AD nicht
aktualisieren - Zugriff verweigert
- Ereignistyp: Fehler
Ereignisquelle: NETLOGON
Ereigniskategorie: Keine
Ereigniskennung: 5789
Datum: 25.09.2000
Zeit: 21:18:46
Benutzer: Nicht zutreffend
Computer: WS35
Beschreibung:
Der Versuch den DNS-Hostnamen des Computerobjekts im Active Directory zu
aktualisieren ist fehlgeschlagen. Der aktualisierte Wert war
"ws35.bw1999.de". Der folgende Fehler ist aufgetreten:
Zugriff verweigert
Daten:
0000: 05 00 00 00 ....
NSLOOKUP/Ping ist auf/zu allen Rechnern o.k. Namensauflösung auch.
Replikation Monitor bringt folgende Fehlermeldung
Below are the replication failures detected on Domain Controllers for this
domain:
Domain Controller Name: SB2
Directory Partition:
CN=Schema,CN=Configuration,DC=bw1999,DC=de
Replication Partner:
Standardname-des-ersten-Standorts\SB1
Failure Code: 8524
Failure Reason: Ein DSA-Vorgang kann aufgrund
eines DNS-Aufruffehlers nicht fortgesetzt werden.
Und da bin ich mit meinem DNS/AD Latein am Ende.
Alles Win2K SP1, DNS-Server auf PDC, Wins,
Hat dazu jemand einen Tip. Ich wäre sehr dankbar.
Viele Grüße Matthias Schulz
Thomas K.H. Bittner [MVP]
news:8qoce1$4gq$11$1...@news.t-online.com...
[...]
>
> Und da bin ich mit meinem DNS/AD Latein am Ende.
> Alles Win2K SP1, DNS-Server auf PDC, Wins,
... setzte mal die dynamsiche Aktualisierung auf ungesichert an jedem DNS
für die AD-Zone.
Danach starte mal den Anmeldedienst neu bzw. mach ein ipconfig /registerdns.
Nach einer halben Stunde schau mal in die Ereignisprotokolle, ob es was
auffälliges gibt.
Ansonsten noch mal mit netdiag und dcdiag die Registrierungen und
Replikationen reparieren.
Gruß,
Thomas
--
[Internet] http://www.ms-mvp.de
[Fragen + Antworten] nur hier:
news://news.online-team.com
news://msnews.microsoft.com - microsoft.public.de.*
Bitte beachten:
http://www.microsoft.com/germany/support/userhuser/netikette.htm
Matthias Schulz
> ... setzte mal die dynamsiche Aktualisierung auf ungesichert an jedem DNS
> für die AD-Zone.
o.K. Forwardzone für (Domänennamen) habe ich von "nur gesichert" auf "ja"
gestellt
> Danach starte mal den Anmeldedienst neu bzw. mach ein ipconfig
/registerdns.
>
> Nach einer halben Stunde schau mal in die Ereignisprotokolle, ob es was
> auffälliges gibt.
nichts Auffälliges
> Ansonsten noch mal mit netdiag und dcdiag die Registrierungen und
> Replikationen reparieren.
bei der WS habe ich die Ursache für den erfolglosen Zugriff auf das AD
gefunden, aber nicht gelöst: TCP/IP wird erst gestartet, nachdem der Zugriff
auf das AD mit Fehler quittiert wurde. Kann / muß man was tun?
der 2.DC bringt bei netdiag folgende unverständliche Meldung
ERROR_NETNAME_DELETED
Das Log sieht verkürzt so aus:
Adapter : LAN-Verbindung
Netcard queries test . . . : Passed
NetBT name test. . . . . . : Passed
WINS service test. . . . . : Passed
Domain membership test . . . . . . : Passed
NetBT transports test. . . . . . . : Passed
List of NetBt transports currently configured:
NetBT_Tcpip_{BAD261AC-9CD1-4D1A-81F8-4C8F548BECC2}
NetBT_Tcpip_{2D0819A8-A7FC-4192-B56C-22BB153B9520}
2 NetBt transports currently configured.
NetBT name test. . . . . . . . . . : Passed
Winsock test . . . . . . . . . . . : Passed
DNS test . . . . . . . . . . . . . : Passed
PASS - All the DNS entries for DC are registered on DNS server
'192.168.115.5' and other DCs also have some of the names registered.
Redir and Browser test . . . . . . : Passed
List of NetBt transports currently bound to the Redir
NetBT_Tcpip_{BAD261AC-9CD1-4D1A-81F8-4C8F548BECC2}
NetBT_Tcpip_{2D0819A8-A7FC-4192-B56C-22BB153B9520}
The redir is bound to 2 NetBt transports.
List of NetBt transports currently bound to the browser
NetBT_Tcpip_{2D0819A8-A7FC-4192-B56C-22BB153B9520} -
Netzwerkkarte DFE 530
NetBT_Tcpip_{BAD261AC-9CD1-4D1A-81F8-4C8F548BECC2} - virtueller
Ken-Adapter
The browser is bound to 2 NetBt transports.
DC discovery test. . . . . . . . . : Passed
DC list test . . . . . . . . . . . : Failed
Failed to enumerate DCs by using the browser.
[ERROR_NETNAME_DELETED]
Und die Fehlermeldung Der Suchdienst konnte keine Serverliste vom
Hauptsuchdienst "\\SB2" auf dem
Netzwerk "\Device\NetBT_Tcpip_{2D0819A8-A7FC-4192-B56C-22BB153B9520}
erhalten steht eben fast stündlich im Ereignisprotokoll.
Danke für Tipps. Viele Grüße Matthias Schulz
Matthias Schulz
noch ein Nachtrag - leider -
zur WS der TCP/IP Start wird im Eventlog später eingetragen/angezeigt, der
Zeitpunkt liegt vor dem negativen AD-Eintrag
zum 1.DC: Nach einem Neustart werde ich mit DNS Fehlermeldungen
überschüttet. Offensichtlich werden beim Runterfahren DNS Einträge nicht ins
AD übernommen. Ich habe versucht die Domänen im DNS Server unter die AD-Zone
neu anzulegen (ohne Untereinträge), klappte auch. Nach dem Neustart waren
sie weg. Die Fehlermeldungen sind:
Ereignistyp: Fehler
Ereignisquelle: DNS
Ereigniskategorie: Keine
Ereigniskennung: 4011
Datum: 27.09.2000
Zeit: 01:14:30
Benutzer: Nicht zutreffend
Computer: SB2
Beschreibung:
Die Aktualisierung oder das Hinzufügen der Domänennamen _gc in Zone
bw1999.de im Verzeichnis konnte nicht durchgeführt werden. Stellen Sie
sicher, dass das Active Directory ordnungsgemäß funktioniert und fügen Sie
diese Domäne hinzu bzw. aktualisieren Sie sie unter Verwendung der
DNS-Konsole. Die Ereignisdaten enthalten den Fehlercode.
Daten:
0000: 2a 23 00 00 *#..
gleiches für Domänenamen _ldap
War vor der Umschaltung der dynamischen Aktualisierung nicht der Fall.
Viele Grüße Matthias Schulz
Thomas K.H. Bittner [MVP]
[...]
> zum 1.DC: Nach einem Neustart werde ich mit DNS Fehlermeldungen
> überschüttet. Offensichtlich werden beim Runterfahren DNS Einträge nicht
ins
... was passiert denn nach netdiag und/oder dcdiag ?
>
> War vor der Umschaltung der dynamischen Aktualisierung nicht der Fall.
... das ist klar. Da war die Zone ja auch nicht AD-basiert.
Matthias Schulz
> ... was passiert denn nach netdiag und/oder dcdiag ?
>
Eigentlich funktioniert alles, auch Anmeldunguen, nslookup, ping usw. Mich
stören nur die Fehlermeldungen und das Risiko, daß plötlich nichts mehr
läuft.
Auf dem 1.DC kommt die
Meldung NtFrs 13508
Der Dateireplikationsdienst konnte die Replikation von SB1 nach SB2 für
c:\winnt\sysvol\domain nicht aktivieren. Es wird ein neuer Versuch
gestartet.
- gleiche Meldung auch umgekehrt
Im DCDIAG
Starting test: frssysvol
There are errors after the SYSVOL has been shared.
The SYSVOL can prevent the AD from starting.
......................... SB2 passed test frssysvol
Im Netdiag
NetBT name test. . . . . . : Passed
[WARNING] At least one of the <00> 'WorkStation Service', <03>
'Messenger Service', <20> 'WINS' names is missing.
Alles andere scheint in Ordnung zu sein, auch serverlist, DNS
Jetzt kommt der 2.DC (SB1)
Netdiag
alles ohne erkennbare Fehler, auch DC List, DNS, Redir Test ....
DCdiag
Starting test: frssysvol
Error: No record of File Replication System, SYSVOL started.
The Active Directory may be prevented from starting.
......................... SB1 passed test frssysvol
Alles andere ohne Fehler
und Ereignisprotokoll:
BROWSER 8021
Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "\\SB2" auf dem
Netzwerk "\Device\NetBT_Tcpip_{2D0819A8-A7FC-4192-B56C-22BB153B9520}"
erhalten. Daten: Fehlercode.
obwohl im Netdiag beides o.k. schien.
Desweiteren
NtFrs 13555
Der Dateireplikationsdienst befindet sich in einem Fehlerstadium. Es werden
keine Dateien von oder zu einem oder allen Dateireplikatssätzen auf dem
Computer repliziert bis die folgenden Wiederherstellungsmaßnahmen
durchgeführt wurden:
Wiederherstellungsmaßnahmen:
[1] Möglicherweise wird der Fehler durch Beenden und Neustarten des
FRS-Dienstes behoben. Geben Sie folgende Befehle in der Eingabeaufforderung
ein:
net stop ntfrs
net start ntfrs
keine Veränderungen
Falls der Fehler weiterhin besteht, gehen Sie wie folgt vor: ..... AD
rücksichern usw. bin begeistert!
Ereignisquelle: NtFrs 13552
Der Dateireplikationsdienst kann diesen Computer dem folgenden Replikatsatz
nicht hinzufügen:
"DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
Die Freigabe Sysvol liegt auf dem Pfad c:\winnt\sysvol\sysvol. Es gibt zwar
das Verzeichnis C:\winnt\sysvol\domain - aber das liegt außerhalb der
Freigabe SYSVOL.
Danke für die Unterstützung.
Viele Grüße Matthias Schulz
Thomas K.H. Bittner [MVP]
[...]
>
> Die Freigabe Sysvol liegt auf dem Pfad c:\winnt\sysvol\sysvol. Es gibt
zwar
> das Verzeichnis C:\winnt\sysvol\domain - aber das liegt außerhalb der
> Freigabe SYSVOL.
... alles in allem sieht es so aus, als wenn die wesentlichen Dinge für die
Funktionalität des AD nicht korrekt sind. Ich würde alles neu installieren,
da ich von hier aus die Vielzahl der Fehler nicht beheben kann. Scheinbar
funktioniert WINS und DNS nicht und damit nicht die Namensauflösung korrekt.
Ferner sind die Speicherordner für AD nicht dort, wo sie erwartet werden
usw. usw.....
Siehe:
http://support.microsoft.com/support/kb/articles/q260/3/62.ASP
Matthias Schulz
> > Die Freigabe Sysvol liegt auf dem Pfad c:\winnt\sysvol\sysvol. Es gibt
> zwar
> > das Verzeichnis C:\winnt\sysvol\domain - aber das liegt außerhalb der
> > Freigabe SYSVOL.
>
> ... alles in allem sieht es so aus, als wenn die wesentlichen Dinge für
die
> Funktionalität des AD nicht korrekt sind. Ich würde alles neu
installieren,
> da ich von hier aus die Vielzahl der Fehler nicht beheben kann. Scheinbar
> funktioniert WINS und DNS nicht und damit nicht die Namensauflösung
korrekt.
> Ferner sind die Speicherordner für AD nicht dort, wo sie erwartet werden
> usw. usw.....
Ich habe auf dem einen Server mal AD neu installiert und bei der Gelegenheit
das Häkchen für den geänderten Domainenamen lt. KB mit gesetzt.
Dabei ist mir aufgefallen, das DCPromo mir C:\Winnt\Sysvol als Pfad SYSVOL
vorgibt. Verändere ich die Vorgabe nicht, wird die Freigabe unter
C:\winnt\sysvol\sysvol installiert, wie oben beschrieben.
Hätte ich bei der Installation die Vorgabe um SYSVOL gekürzt läge zwar die
Freigabe direkt unter WINNT, aber wo wären die andern Verzeichnisse
hingeraten, die jetzt unter WINNT\SYSVOL liegen, wie \domain; \stagging und
\staging areas, die ja jetzt neben der Freigabe sysvol liegen?
Was wäre richtig?
Viele Grüße Matthias Schulz
Thomas K.H. Bittner [MVP]
[...]
>
> Ich habe auf dem einen Server mal AD neu installiert und bei der
Gelegenheit
> das Häkchen für den geänderten Domainenamen lt. KB mit gesetzt.
> Dabei ist mir aufgefallen, das DCPromo mir C:\Winnt\Sysvol als Pfad SYSVOL
> vorgibt. Verändere ich die Vorgabe nicht, wird die Freigabe unter
> C:\winnt\sysvol\sysvol installiert, wie oben beschrieben.
> Hätte ich bei der Installation die Vorgabe um SYSVOL gekürzt läge zwar die
> Freigabe direkt unter WINNT, aber wo wären die andern Verzeichnisse
> hingeraten, die jetzt unter WINNT\SYSVOL liegen, wie \domain; \stagging
und
> \staging areas, die ja jetzt neben der Freigabe sysvol liegen?
> Was wäre richtig?
... wie die Verzeichnisstruktur ist, ist eigentlich egal, da die Freigabe ja
auf diese Verzeihnisstruktur zugreift. Aber es ist schon recht merkwürding,
dass hier noch zusätzlich Unterverzeichnisse angelegt werden ?!