none
keine Replikation oder neue Domänenmitgliedschaften an neuen Standorten RRS feed

  • Frage

  • Sehr geehrte Damen und Herren,

    wir haben ein Netzwerk mit ca. 250 Clients. Alle Windows Server laufen auf Windows Server 2003 R2 Standard SP2.
    Reine Windows Server 2003 R2 Active Directory Domäne mit mehreren Standorten.

    Das derzeitige Problem besteht darin, dass wir keine Rechner an einem neuen Standort in die Domäne aufnehmen oder einen Domänencontroller am neuen Standort mit funktionierender Replikation etablieren können.

    Es kommt immer wieder zur Fehlermeldung "In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar"

    Wenn ich versuche einen einfachen Windows XP SP3 Rechner am neuen Standtort in die Domäne aufzunehmen, wird zwar das Konto in der Domäne erstellt, allerdings wird es zum Zeitpunkt der Fehlermeldung direkt wieder deaktiviert.

    Bzgl des zusätzlichen Domaincontrollers habe ich mehrere Weg ausprobiert und mich größtenteils an die folgende Anleitung gehalten:
    http://blog.dikmenoglu.de/Einen+Domaumlnencontroller+An+Einen+Anderen+Standort+Verschieben.aspx

    1. Weg
    - Server am Hauptstandtort installiert und als Domaincontroller konfiguriert und Funktion überprüft.
    - IP Adresse geändert und an den neuen Stanort gefahren
    - Standortkonfiguration für die AD vorgenommen
    Der Server konnte danach normal im Netzwerk kommunizieren (Ping, Freigaben, etc). Nur die Replikationen haben nicht funktioniert.
    Selbst die DNS aktualisierung hat er selbstständig durchgeführt.

    2. Weg
    - Server direkt am Standort installiert und versucht als Domaincontroller zu konfigurieren
    Selbe Fehlermeldung wie beim einfachen hinzufügen eines Rechner zur Domäne.

    Ebenfalls habe ich ein Testnetz mit den selben Bedingungen aufgebaut, welches zum selben Fehler führte.

    DNS Einstellungen, Standortkonfiguration der AD, Firewallkonfig, etc habe ich mehrfach überprüft und konnte von meinem Stand keinen direkten Fehler feststellen.

    Ich hoffe das ich genügend Informationen nieder geschrieben habe um das Probelm halbwegs deutlich darzulegen.
    Wäre schön wenn ich über diesen Weg einen Lösungansatz bekäme.

    Für fragen stehe ich jederzeit unter der Mailadresse pascal.roessner@hmmh.de zur Verfügung.

    Mit freundlichem Gruß

    Pascal Rößner

    Donnerstag, 3. Juni 2010 08:46

Alle Antworten

  • Sehr geehrter Herr... ach... Hallo Pascal,

    wir duzen uns hier.

    Konntest du diesen Artikel schon finden und dir das mal ansehen: http://support.microsoft.com/kb/839880?

    Wie sieht denn die "Firewallkonfig" aus, die du da erstellt hast? Bist du bei beiden Maschinen (Prod. und Test.) so vorgegangen? Kannst du das Problem mit einer Vanilla-Installation von 2003 R2 im Testsystem nachvollziehen bzw. wo bist du vom Beschreib des Blogs abgewichen?

    Cheers,

    Florian


    Microsoft MVP - Group Policy (http://www.frickelsoft.net/blog)
    Donnerstag, 3. Juni 2010 11:16
  • Moin Florian,

    ja den Artikel habe ich gefunden. Leider bin ich da auch nicht wirklich weitergekommen.
    Die Tools habe ich ausgeführt und die paar Schritte zur Lösung versucht leider ohne Erfolg.

    Wir setzen hier Firewalls von Fortinet ein. Zwischen den Netzen ist allerdings alles freigeschaltet und das haben wir auch gecheckt.

    Ich habe auch schon das Tool port Query von MS laufen lassen und konnte wirklich etwas auffäliges feststellen.
    Das kuriose an der GEschichte ist ja, dass der Server / Rechner im Netzwerk kommunizieren kann. Auch die Namensauflösung funktioniert scheinbar. Aber sobald es an die Domänenmitgliedschaft oder die Replikatuion geht, sieht es düster aus.

    Vom Blog bin ich eigentlich gar nicht abgewichen. Klar vll hab ich mal den einen oder anderen Schritt in der "falschen" Reihenfolge gemacht oder weggelassen weil sich die beschriebene Situation nicht ergeben hat. Z.B. hat der Server die DNS Einträge automatisch aktualisiert.

    Leider weiß ich nicht was eine Vanilla-Installation ist. Kannst du mir erklären was damit gemeint ist bzw wie ich das mache?

    Gruß Pascal

    Donnerstag, 3. Juni 2010 11:51
  • http://www.google.de/#hl=de&source=hp&q=Vanilla+installation&aq=f&aqi=g1&aql=&oq=&gs_rfai=&fp=4aa741f8741bec4c ;)

    Bye

    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Donnerstag, 3. Juni 2010 13:18
  • Hi,

    Am 03.06.2010 10:46, schrieb hmmh multimediahaus AG:
    Das derzeitige Problem besteht darin, dass wir keine Rechner
    > an einem neuen Standort in die Domäne aufnehmen oder
    > einen Domänencontroller am neuen Standort mit funktionierender
    > Replikation etablieren können.

    Es ist zu 100% deine Router/Firewall Konfig.

    Das erklärt auch, warum der Server im ersten Standort läuft aber nach
    dem Umzug "hinter den Router" nicht mehr.

    Tschö
    Mark
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate
    Donnerstag, 3. Juni 2010 14:24
  • Hi,

    Am 03.06.2010 10:46, schrieb hmmh multimediahaus AG:
    Das derzeitige Problem besteht darin, dass wir keine Rechner an einem
    neuen Standort in die Domäne aufnehmen oder einen Domänencontroller
    am neuen Standort mit funktionierender Replikation etablieren
    können.
    Es ist zu 100% deine Router/Firewall Konfig.

    Das erklärt auch, warum der Server im ersten Standort läuft aber nach
    dem Umzug "hinter den Router" nicht mehr.

    Tschö
    Mark
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate
    Donnerstag, 3. Juni 2010 14:24
  • Sorry, das Doppelpost war ein Formatierungstest, jetzt kenne ich
    den Unterschied, wann das Zitat im Thunderbird als Zitat rausgeht :-))


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate
    Donnerstag, 3. Juni 2010 14:26
  • thx

    Nach der Definition ist meine Installation eigentlich bereits eine Vanillainstallation.
    Ich habe dort nur Windows Server 2003 R2 mit allen aktuellen Updates drauf und dem Virenscanner Officescan von TrendMicro drauf.

    Gruß Pascal

    Donnerstag, 3. Juni 2010 14:33
  • Ich könnte ja jetzt einwenden, dass man im Webinterface doppelposts löschen kann, aber ich trau mich nicht, dir das zu sagen. ;)

     

    Bye

    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Donnerstag, 3. Juni 2010 14:33
  • Ja das war auch mein erster Gedanke.
    Aber wir haben die Einstellungen schon mehrfach kontrolliert und auch mit der Konfig für den ersten Standort verglichen.
    Es gibt keine Unterschiede!

    Gruß Pascal

    Donnerstag, 3. Juni 2010 14:35
  • Dann würde es aber funktionieren, oder? Was genau nutzt ihr als Router/FW und wie ist die Konfig? Ihr seid nicht die ersten die Mark oder auch mir über den Weg laufen und behaupten da ist überhaupt alles was notwendig ist frei zwischen den Netzen. ;)

     

    Bye

    Norbert


    Dilbert's words of wisdom #32: If it wasn't for the last minute, nothing would get done.
    Donnerstag, 3. Juni 2010 14:41
  • Hi,

    Am 03.06.2010 16:35, schrieb hmmh multimediahaus AG:
    Ja das war auch mein erster Gedanke.
    ... und der ist richtig.
    Aber wir haben die Einstellungen schon mehrfach kontrolliert und
    auch mit der Konfig für den ersten Standort verglichen. Es gibt
    keine Unterschiede!
    Wetten doch?

    Jetzt mal ohne Scherz:
    Der DC funktioniert in deinem LAN, du stellst ihn im LAN in ein eigenes
    Subnetz und er repliziert. Dann bewegst du ihn hinter einen Router oder
    eine Firewall und die Replikation bricht zusammen.

    Jetzt rate mal, wo der Fehler liegt.
    Sicherlich nicht in der Replikation, sondern auf der Strecke dazwischen.

    Evtl. ist dein Eventlog randvoll mit Fehler "netlogon 5719", dann hilft
    es u.U. die MaxPacketSize auf 1 zu setzen, um Kerberos mit TCP anstelle
    von UDP zu nutzen. Da hatte ich schon mal mit Soho Geräten von Draytek
    Probleme.

    How to force Kerberos to use TCP instead of UDP in Windows
    http://support.microsoft.com/kb/244474

    Tschö
    Mark
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate
    Donnerstag, 3. Juni 2010 14:51
  • Moin,

    ich gebe euch ja grundsätzlich recht.
    Aber warum sollte alles auf der Strecke funktionieren nur die Replikation nicht?!

    Die beschriebenen Fehler in der Ereignisanzeige habe ich leider nicht...

    Wenn es an der Firewall liegen sollte, dann dürfte ich doch eigentlich kein Ergebnis mit dem Tool Port Query von Microsoft bekommen, oder?

    Gruß Pascal

    Freitag, 4. Juni 2010 07:03
  • Hi,

    Am 04.06.2010 09:03, schrieb hmmh multimediahaus AG:
    Aber warum sollte alles auf der Strecke funktionieren nur die
    Replikation nicht?!
    Weil du eine Firewall mit Application Regeln, wie zB Checkpoint
    verwendest und der Admin dieses Geräts mal wieder alle Ports geöffnet
    hat, auch RPC und andere Dinge in seinem Application Check zulässt,
    aber nicht ein einziges Mal in sein LogFile geschaut hat, um
    festzustellen, daß MS für die Datei Replikation ein anderes Protokoll
    anstelle von MS-RPC angibt.
    Wenn es an der Firewall liegen sollte,
    Nein, nicht "sollte". Den Konjunktiv kannste vergessen.
    dann dürfte ich doch eigentlich kein Ergebnis mit dem Tool Port Query
    von Microsoft bekommen, oder?
    Doch, natürlich kriegst du eine Antwort.
    Das Tool schaut ja nur, ob eine Tür vorhanden ist und ob sie geöffnet
    ist. Es geht aber nicht rein, um festzustellen, daß da noch ein
    Türsteher ist, der eine Gesichtskontrolle macht

    Port != Applikation

    Tschö
    Mark
    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    Discuss :    www.freelists.org/list/gpupdate
    Freitag, 4. Juni 2010 07:28
  • Hallo Pascal,

    dann poste doch einfach mal das Ergebnis von Portquery. Ein Ergebnis bekommst Du immer auf jeden Fall. Wie das dann aussieht, steht auf einen anderen Blatt.

    Grüße

    Frank


    -- Frank Röder MVP Directory Services blog.iteach-online.de --
    Montag, 7. Juni 2010 07:48