Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Domänencontroller kann nicht mehr in die Zentrale replizieren

229 views
Skip to first unread message

André Sydoriak

unread,
Jun 30, 2008, 1:48:24 PM6/30/08
to
Hallo NG,

ich habe hier ein sehr schwerwiegendes Problem.

Ein Domänencontroller eines Remotestandortes ist seit sehr langer Zeit
nicht mehr in der Lage gewesen sich mit den Domänencontrollern der
Zentrale zu replizieren.

Da mein Vorgänger hier ein wenig schlampig in der Konfiguration des
Netzes war, konnte sich der Domänencontroller des Remotestandortes seit
!Monaten! nicht mehr gen Zentrale replizieren, da die Verbindung via VPN
nur von der Seite des Remotestandortes zur VPN-Einwahl angestoßen werden
konnte (Reine PPTP Verbindung bei Bedarf, wenn man mal was aus der
Zentrale brauchte...) Die Tombstone-Lifetime ist also schon weit
abgelaufen :-(

Da nun keine Anmeldung an der Domäne durch Clients, kein autorisierter
DHCP und kein DNS (komplette DNS Einstellungen in der Verwaltungsconsole
sind leer) mehr funktioniert, habe ich leider die sehr unschöne Aufgabe
das auszubügeln.

Folgende Info?s für Euch:

Server der Zentrale:

2x Windows 2003 R2 als DC mit DNS, DHCP und WINS aktuell gepacht

Server des Remotestandorts:

1x Windows 2003 als DC (ursprünglich wohl mit DNS, DHCP und WINS)
Patchlevel noch nicht geklärt.

Die beiden Standorte sind durch mich via ZyXEL ZyWALL VPN miteinander
verbunden worden und die PPTP Verbindung habe ich disabled. Beide
Netzwerke sehen sich jetzt also einwandfrei.

Im Eventlog des Remote-DC?s finden sich tausende Fehlermeldungen nach
diesem Stil:

> Ereignistyp: Warnung
> Ereignisquelle: NTDS KCC
> Ereigniskategorie: Konsistenzprüfung
> Ereigniskennung: 1925
> Datum: 30.06.2008
> Zeit: 19:24:26
> Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
> Computer: dc-remote
> Beschreibung:
> Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden schreibbaren Verzeichnispartition.
>
> Verzeichnispartition:
> CN=Configuration,DC=LAN,DC=domäne,DC=DE
> Quelldomänencontroller:
> CN=NTDS Settings,CN=SRVMAIL,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=LAN,DC=domäne,DC=DE
> Adresse des Quelldomänencontrollers:
> d7bb2ea3-c50a-4c22-9aa1-e6d0b0813b66._msdcs.LAN.domäne.DE
> Standortübergreifende Übertragung (falls vorhanden):
> CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=LAN,DC=domäne,DC=DE
>
> Dieser Domänencontroller kann nicht mit dem Quelldomänencontroller replizieren, solange das Problem nicht behoben ist.
>
> Benutzeraktion
> Überprüfen Sie, ob auf den Quelldomänencontroller zugegriffen werden kann und ob eine Netzwerkverbindung besteht.
>
> Zusätzliche Daten
> Fehlerwert:
> 1753 In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.
>
> Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
>
>
>
> Ereignistyp: Warnung
> Ereignisquelle: NtFrs
> Ereigniskategorie: Keine
> Ereigniskennung: 13508
> Datum: 22.06.2008
> Zeit: 21:00:53
> Benutzer: Nicht zutreffend
> Computer: dc-remote
> Beschreibung:
> Der Dateireplikationsdienst konnte die Replikation von SRVMAIL nach dc-remote für c:\windows\sysvol\domain mit DNS-Namen srvmail.LAN.domäne.DE nicht aktivieren. Es wird ein neuer Versuch gestartet.
> Mögliche Ursachen für diese Warnung sind:
>
> [1] Der DNS-Name srvmail.LAN.domäne.DE von diesem Computer konnte nicht ausgewertet werden.
> [2] Der Dateireplikationsdienst wird auf srvmail.LAN.domäne.DE nicht ausgeführt.
> [3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert.
>
> Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde.
>
> Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
> Daten:
> 0000: 21 07 00 00 !...


Wie würdet Ihr am besten vorgehen und dieses Problem zu lösen?

Folgendes habe ich mittlerweile schon gemacht:

1. Backup des Servers zur Sicherheit
2. Anpassen der Lan-Schnittstelle des Servers --> DNS Einstellungen von
127.0.0.1 auf IP des DNS Servers in der Zentrale
3. DNS Auflösung getestet --> Auflösung läuft fürs erste

Ich hoffe ich konnte für einen kleinen Überblick schaffen, ist ja nicht
gerade ein kleineres Problem. Falls Ihr noch detaillierte Fragen zur
Konfiguration haben solltet, nur her damit :-) Poste sie umgehend und gerne.

thx schonmal im Voraus,

cheers,
André


Frank Röder [MVP]

unread,
Jul 1, 2008, 12:34:35 AM7/1/08
to
Hallo André,

da die Tombstone Lifetime bereits abgelaufen ist, sieht das nicht gut
für Dich aus. Keine Angst, an und für sich ist das kein Problem:

1.) Stufe den DC im Remotestandort mit "dcpromo /forceremoval"
herunter.
2.) Führe auf einem DC im Hauptstandort ein "metadata cleanup" durch.

[Entfernen von Daten aus Active Directory nach fehlgeschlagener
Domänencontroller-Herabstufung]
http://support.microsoft.com/kb/216498

3.) Danach wartest Du einfach eine kurze Weile, damit die DCs im
Hauptstandort sich replizieren können.
4.) Jetzt könntest Du theoretisch die Maschine im Remotestandort wieder
mit dcpromo zum DC machen.

--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

Yusuf Dikmenoglu [MVP]

unread,
Jul 1, 2008, 3:59:00 AM7/1/08
to
Servus,

"André Sydoriak" wrote:
> Die Tombstone-Lifetime ist also schon weit abgelaufen :-(

du könntest zwar trotzdem versuchen die Fehler zu beseitigen und die
Replikation zum laufen zu bringen (Stichwort: Lingering Objects [1]), doch
wenn mehrere DCs existieren, ist es am schnellsten wenn du den veralteten DC
so wie es Frank beschrieben hat, neu zum DC stufst.

[1] [Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)]
http://blog.dikmenoglu.de/PermaLink,guid,f6157d8b-2424-4279-bb59-b55273f7d599.aspx

--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

André Sydoriak

unread,
Jul 1, 2008, 4:27:56 AM7/1/08
to
Hallo Frank,
hallo Yusuf,

danke für Eure wertvollen Tipps!

Werde sie heute im Laufe des Tages vornehmen und Euch dann
schnellsmöglich berichten, wie es mir ergangen ist.

Danke und Grüße,
André

Yusuf Dikmenoglu [MVP] schrieb:

André Sydoriak

unread,
Jul 1, 2008, 5:44:08 AM7/1/08
to
Hallo Frank,

Punkt 1 hat einwandfrei funktioniert.

Allerdings hänge ich bei Punkt 2:

Wenn ich im ntdsutil in der betreffenden Site den Server auswählen soll
(wie im KB-Artikel beschrieben) wird mir keiner angezeigt. Denke, da wir
ihn ja hart heruntergestuft haben. Wie muss ich hier weiter vorgehen?
Die Site löschen?

Grüße,
André

Frank Röder [MVP] schrieb:

Yusuf Dikmenoglu [MVP]

unread,
Jul 1, 2008, 6:16:00 AM7/1/08
to

"André Sydoriak" wrote:
> Wenn ich im ntdsutil in der betreffenden Site den Server auswählen soll
> (wie im KB-Artikel beschrieben) wird mir keiner angezeigt.

Dann öffne doch mal das Snap-In "Active Directory-Standorte und -Dienste"
und überprüfe ob das DC-Icon dort an einem Standort noch existiert. Falls es
dort doch besteht, entferne diesen händisch.

> Denke, da wir ihn ja hart heruntergestuft haben.

Nein. Wenn man das DCPROMO /FORCEREMOVAL ausführt wird nichts weiter
gemacht, als das die AD-Daten "mit Gewalt" vom DC entfernt werden. Die
Informationen im AD bleiben aber weiterhin bestehen.

> Wie muss ich hier weiter vorgehen?

Überprüfe das in der MMC und falls dort der DC nicht mehr existiert,
überspringe diesen Punkt und folge weiter dem Artikel.

> Die Site löschen?

Nein, dass hat damit nichts zu tun.

André Sydoriak

unread,
Jul 1, 2008, 3:05:34 PM7/1/08
to
Hallo Yusuf,

vielen Dank, das hat mir sehr weitergeholfen. Lieber ein Mal mehr
gefragt, als zu wenig.

Der Remoteserver ist nun jetzt wieder Domänencontroller. Derzeit läuft
die Replikation. Soweit schaut es wieder recht gut aus. Auf einem Client
konnte ich mich schon als Domänenadmin anmelden.

Ich warte die nacht ab und schau mir die Sache morgen früh an, ob es
noch Sachen zum Beheben gibt.

Danke nochmal an Dich und natürlich auch an Frank für den initialen Post.

Cheers und bis Morgen,

André

Yusuf Dikmenoglu [MVP] schrieb:

Yusuf Dikmenoglu [MVP]

unread,
Jul 1, 2008, 3:20:28 PM7/1/08
to
"André Sydoriak" schrieb :
> Derzeit läuft die Replikation.

So muss das sein.

> Ich warte die nacht ab und schau mir die Sache morgen früh an, ob es
> noch Sachen zum Beheben gibt.

Ja, tue das. Sicherheitshalber kannst du noch das DCDIAG sowie
NetDIAG (aus den Windows Support Tools) auf dem DC ausführen,
um auf Nummer sicher zu gehen. Anschließend wäre es noch hilfreich,
einen Blick in das Eventlog zu werfen.

--
Regards from Mainz/Germany

0 new messages