Remove From My Forums

DC Tobstone Lifetime over 60

Frage
0

Anmelden

Hi Leute,

ich bin heute auf einen Fehler gestoßen auf einem unserer DC's.

"The attemp to establish a replication link for the following writable directory partition failed"

Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Date: 27.06.2012 11:46:32
Event ID: 1925
Task Category: Knowledge Consistency Checker
Level: Warning
Keywords: Classic
User: ANONYMOUS LOGON
Computer: ist mein dc1
Description:
The attempt to establish a replication link for the following writable directory partition failed.

...
<Data>The directory service cannot replicate with this server because the time since the last replication with this server has exceeded the tombstone lifetime.

Kurz zu unserer Struktur es gibt dc 2 und dc 3 in eine anderen Location und bei uns steht der dc1. Also dieverbindung zum DC1 scheint ohne Problem zu funktionieren.

Kann mir jemand helfen das zu bereinigen? Habe mich schon durch viel MS KB's durchgelesen nur helfen die mir nicht wirlklich weiter

Hoffe ihr könnt mir helfen.

Ach ja sind alles Windows 2008 Server

Mittwoch, 27. Juni 2012 10:09

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

Hallo,

wenn ein DC die TSL überschritten hat und Du noch mehrere DCs hast dann ist die sauberste Variante den Probelm DC komplett zu entfernen oder zumindest mit dcpromo /forceremoval und danach die AD Metadaten zu bereinigen. Ebenfalls müssen DNS Einträge entfernt werden in den DNS Zonen und Namensserver Einstellungen in the DNS Zonen Eigenschaften. Auch AD Standorte und Dienste muss von dem alten DC bereinigt werden.

Schau Dir mal http://msmvps.com/blogs/mweber/archive/2010/05/16/active-directory-metadata-cleanup.aspx an für weitere Details, da Ihr ja englische DCs benutzt.

Dann ist noch die Frage warum ist er über der TSL? Firewalls, welche die AD-Replikation verhindern könnten? Dann bitte mit http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx auf benötigte Ports überprüfen.
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

Mittwoch, 27. Juni 2012 10:36

Antworten

|

Zitieren
0

Anmelden

Hi danke für die Hilfe

ich kann das auch in der Rhein folge machen:

1. neuen DC einrichten

2. erst danach den alten sauber entfernen oder Spricht da was gegen?

PS. Firewall scheint alles durchzulassen was aber gesehen habe ist das "File Replication Service" ntfrs deaktiviert war auf den 3 DC's. Vermutlich ist das der Grund gewesen.

Mittwoch, 27. Juni 2012 11:27

Antworten

|

Zitieren
0

Anmelden

Hallo,

ich bevorzuge immer die Problem-DCs als erstes zu entsorgen um vor Überraschungen geschützt zu sein, es sollte aber acuh funktionieren. Stelle nur sicher der Problem-DC nicht als DNS Server verwendet wird am neuen.

Achte dann auch darauf beim Heraufstufen einen gesunden DC auszuwählen und NICHT die automatische Auswahl für die Replikation zu wählen.
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

Mittwoch, 27. Juni 2012 11:37

Antworten

|

Zitieren
0

Anmelden

interessant ist nur wenn ich in der AD egal auf welchem DC einen User anlege werden diese auf die anderen DC gesynct, hmmm. Wenn die fehler sagen das mehr als 60 Tage kein Sync mehr war und dieser jetzt ganz abegschaltet wurde sollten doch keine User mehr auf dem DC1 landen bzw. umgekehrt oder sehe ich das falsch?

Wenn ich dcdiag ausführe habe ich auf allen drei folgende Fehlermedlung:

Starting test: Advertising
......................... DC2 passed test Advertising
Starting test: FrsEvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
......................... DC2 failed test FrsEvent
Starting test: DFSREvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.

und auf dem DC1 der bei uns steht zusätzlich noch diese:

2012-02-29 21:03:46
WARNING: This latency is over the Tombstone Lifetime of 60
days!
Last replication received from DC2 at
2012-02-29 21:06:31
WARNING: This latency is over the Tombstone Lifetime of 60
days!
CN=Schema,CN=Configuration,DC=test,DC=de
Last replication received from DC3 at
2012-02-29 22:06:30
WARNING: This latency is over the Tombstone Lifetime of 60
days!
Last replication received from DC2 at
2012-02-29 21:51:50
WARNING: This latency is over the Tombstone Lifetime of 60
days!
CN=Configuration,DC=test,DC=de
Last replication received from DC3 at
2012-02-29 20:18:44
WARNING: This latency is over the Tombstone Lifetime of 60
days!
Last replication received from DC2 at
2012-02-29 20:21:30
WARNING: This latency is over the Tombstone Lifetime of 60
days!

usw.

und noch

(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Warning Event occurred. EventID: 0x80000785
Time Generated: 06/27/2012 14:01:41
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Error Event occurred. EventID: 0xC00007FA
Time Generated: 06/27/2012 14:01:41
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Warning Event occurred. EventID: 0x80000785
Time Generated: 06/27/2012 14:01:41
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..

usw.

Ich hoffe jetzt nur wenn das es nicht die DC2 und DC3 die ich installieren muss. Aber sowie ich es sehe deutet alles auf den DC1

Mittwoch, 27. Juni 2012 12:20

Antworten

|

Zitieren
0

Anmelden

Hallo,

der DC welcher die Fehlermeldung hat ist der mit en Problemen und da die anderen beiden die TSL Fehler nicht haben sind die ok.

Für den "EvtFormatMessage MUI File" Fehler schau mal in http://support.microsoft.com/kb/2415605
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

Mittwoch, 27. Juni 2012 12:59

Antworten

|

Zitieren
0

Anmelden

Hast auch eine Idee dazu:?

interessant ist nur wenn ich in der AD egal auf welchem DC einen User anlege werden diese auf die anderen DC's gesynct, hmmm. Wenn die fehler sagen das mehr als 60 Tage kein Sync mehr war und dieser jetzt ganz abegschaltet wurde sollten doch keine User mehr auf dem DC1 landen bzw. umgekehrt oder sehe ich das falsch?

File Replication Service" ntfrs war auf den 3 DC's deaktiviert . Könnte sein das das der Grund war warum der DC1 jetzt die Fehlermeldungen anzeigt? Nur da dieser Dienst auf allen 3 DC' deaktiviert war sollte doch der gleiche Fehelr auf alle DC's sein bzw. Sync nicht funktionieren. oder ist dieser DIenst dafür nicht wichtig?

Mittwoch, 27. Juni 2012 13:23

Antworten

|

Zitieren
0

Anmelden

Wie legst Du einen User "auf einem DC" an bzw. pruefst, ob er auf einem DC vorhanden ist?
NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

Donnerstag, 28. Juni 2012 06:17

Antworten

|

Zitieren
0

Anmelden

* homermg (Wed, 27 Jun 2012 13:23:46 +0000)

interessant ist nur wenn ich in der AD egal auf welchem DC einen User anlege werden diese auf die anderen DC's gesynct, hmmm. Wenn die fehler sagen das mehr als 60 Tage kein Sync mehr war und dieser jetzt ganz abegschaltet wurde sollten doch keine User mehr auf dem DC1 landen bzw. umgekehrt oder sehe ich das falsch?

repadmin /showrepl

File Replication Service" ntfrs war auf den 3 DC's deaktiviert . Könnte sein das das der Grund war warum der DC1 jetzt die Fehlermeldungen anzeigt? Nur da dieser Dienst auf allen 3 DC' deaktiviert war sollte doch der gleiche Fehelr auf alle DC's sein bzw. Sync nicht funktionieren. oder ist dieser DIenst dafür nicht wichtig?

Windows 2008 und 2008 R2 benutzen per default DFSR für die Sysvol-
Replikation. Das hat aber mit Active Directory-Replikation nichts zu tun.

Thorsten

Donnerstag, 28. Juni 2012 07:22

Antworten

|

Zitieren
0

Anmelden

Hallo,

bist Du inzwischen weitergekommen?

Gruss,
Raul
Raul Talmaciu, MICROSOFT
Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

Montag, 2. Juli 2012 14:13

Antworten

|

Zitieren
0

Anmelden
Sorry Leute,
war noch an einem anderen Projekt dran. Bin jetzt wieder zurück. Bin leider noch nicht weitergekommen.
1.Wie legst Du einen User "auf einem DC" an bzw. pruefst, ob er auf einem DC vorhanden ist?
Also in der "Active Directory-Benutzer und -Computer" sage ich ich mit Rechtsklick auf die Domäne "Domaincontroller ändern", dann lege ich auf dem DC1 einen user in der "Active Directory-Benutzer und -Computer" Konsole an und switche wieder auf den andrene DC um.

2. repadmin /showrepl ausgeführt auf dem DC1(ich poste jetzt nur die betroffene Dc's und Fehler)
DC=test,DC=com
test-location\DC3 via RPC
DSA object GUID: 234sdcdsc5a1c-csdc-34er23-9esdccd8-9bsdcsdc93
Last attempt @ 2012-07-03 10:41:47 was successful.
weiter unten, unter viele erfolgreichen test zu anderen dc's in anderen domains
Source: test-location\DC3
******* 1 CONSECUTIVE FAILURES since 2012-07-03 10:46:48
Last error: 8614 (0x21a6):
The directory service cannot replicate with this server because the
time since the last replication with this server has exceeded the tombstone life
time.

Naming Context: DC=DomainDnsZones,DC=test,DC=com
Source: test-location\DC3
******* WARNING: KCC could not add this REPLICA LINK due to error.

Naming Context: DC=ForestDnsZones,DC=test,DC=de
Source: test-location\DC3
******* WARNING: KCC could not add this REPLICA LINK due to error.

Naming Context: CN=Configuration,DC=test,DC=de
Source: test-location\DC3
******* WARNING: KCC could not add this REPLICA LINK due to error.

dcdiag ausgeführt auf dem DC1
Doing primary tests

Testing server: GER\DC1
Starting test: Advertising
......................... DC1 passed test Advertising
Starting test: FrsEvent
......................... DC1 passed test FrsEvent
Starting test: DFSREvent
There are warning or error events within the last 24 hours after the
SYSVOL has been shared. Failing SYSVOL replication problems may cause
Group Policy problems.
.........................DC1 passed test DFSREvent
Starting test: SysVolCheck
......................... DC1 passed test SysVolCheck
Starting test: KccEvent
An Error Event occurred. EventID: 0xC00007FA
Time Generated: 07/03/2012 10:46:48
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Warning Event occurred. EventID: 0x80000785
Time Generated: 07/03/2012 10:46:48
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Error Event occurred. EventID: 0xC00007FA
Time Generated: 07/03/2012 10:46:48
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Warning Event occurred. EventID: 0x80000785
Time Generated: 07/03/2012 10:46:48
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Error Event occurred. EventID: 0xC00007FA
Time Generated: 07/03/2012 10:46:49
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Warning Event occurred. EventID: 0x80000785
Time Generated: 07/03/2012 10:46:49
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Error Event occurred. EventID: 0xC00007FA
Time Generated: 07/03/2012 10:46:49
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
An Warning Event occurred. EventID: 0x80000785
Time Generated: 07/03/2012 10:46:49
EvtFormatMessage failed, error 15100 The resource loader failed to f
ind MUI file..
(Event String (event log = Directory Service) could not be
retrieved, error 0x3afc)
.........................DC1 failed test KccEvent
Starting test: KnowsOfRoleHolders

Starting test: KnowsOfRoleHolders
......................... DC1 passed test KnowsOfRoleHolders
Starting test: MachineAccount
......................... DC1 passed test MachineAccount
Starting test: NCSecDesc
......................... DC1 passed test NCSecDesc
Starting test: NetLogons
......................... DC1 passed test NetLogons
Starting test: ObjectsReplicated
......................... DC1 passed test ObjectsReplicated
Starting test: Replications
REPLICATION-RECEIVED LATENCY WARNING
DC1: Current time is 2012-07-03 11:01:01.
DC=ForestDnsZones,DC=meinedomäne,DC=de
Last replication received from DC3 at
2012-02-29 21:03:46
WARNING: This latency is over the Tombstone Lifetime of 60
days!
Last replication received from DC2 at
2012-02-29 21:06:31
WARNING: This latency is over the Tombstone Lifetime of 60
days!
CN=Schema,CN=Configuration,DC=meindomäne,DC=de
Last replication received from DC3 at
2012-02-29 22:06:30
WARNING: This latency is over the Tombstone Lifetime of 60
days!
Last replication received from DC2 at
2012-02-29 21:51:50
WARNING: This latency is over the Tombstone Lifetime of 60
days!
CN=Configuration,DC=meinedomäne,DC=de
Last replication received from DC3 at
2012-02-29 20:18:44
WARNING: This latency is over the Tombstone Lifetime of 60
days!
Last replication received from DC2 at
2012-02-29 20:21:30
WARNING: This latency is over the Tombstone Lifetime of 60
days!
DC=DomainDnsZones,DC=untergeordnetedomäne,DC=com
Last replication received from DC3 at
2012-02-29 21:18:45
WARNING: This latency is over the Tombstone Lifetime of 60
days!
Last replication received from DC2 at
2012-02-29 21:21:32
WARNING: This latency is over the Tombstone Lifetime of 60
days!
......................... DC1 passed test Replications
Starting test: RidManager
......................... DC1 passed test RidManager
Starting test: Services
......................... DC1 passed test Services
Starting test: SystemLog
......................... DC1 passed test SystemLog
Starting test: VerifyReferences

Running partition tests on : DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... DomainDnsZones passed test
CrossRefValidation

Running partition tests on : domäne
Starting test: CheckSDRefDom
......................... meinedomäne passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... meinedomäne passed test CrossRefValidation

Running partition tests on : ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... ForestDnsZones passed test
CrossRefValidation

Running partition tests on : Schema
Starting test: CheckSDRefDom
......................... Schema passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Schema passed test CrossRefValidation

Running partition tests on : Configuration
Starting test: CheckSDRefDom
......................... Configuration passed test CheckSDRefDom
Starting test: CrossRefValidation
......................... Configuration passed test CrossRefValidation

Running enterprise tests on : meinedomäne
Starting test: LocatorCheck
......................... meinedomäne passed test LocatorCheck
Starting test: Intersite
......................... meinedomäne passed test Intersite

Auf jedem Controller in allen Domänen habe ich folgende Fehlermeldungen in den Eventlogs:
Protokollname: Directory Service
Quelle: Microsoft-Windows-ActiveDirectory_DomainService
Datum: 02.07.2012 15:37:51
Ereignis-ID: 1864
Aufgabenkategorie:Replikation
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: ANONYMOUS-ANMELDUNG
Computer: dc5.meinedomäne.de
Beschreibung:
Dies ist der Replikationsstatus für die folgende Verzeichnispartition des Verzeichnisservers.

Verzeichnispartition:
DC=ForestDnsZones,DC=meinedomäne,DC=de

Dieser Verzeichnisserver hat in jüngster Zeit von einigen Verzeichnisservern keine Replikationsinformationen mehr erhalten. Die Anzahl an Verzeichnisservern wird unterteilt in die folgenden Intervalle gezeigt.

Länger als 24 Stunden:
2
Länger als eine Woche:
2
Länger als einen Monat:
2
Länger als zwei Monate:
2
Länger als die Tombstone-Verfallzeit:
2
Tombstone-Verfallzeit (in Tagen):
60
Bei Verzeichnisservern, die nicht rechtzeitig repliziert werden, können Fehler auftreten. Ihnen können Kennwortänderungen entgehen, und sie können daher ggf. nicht in authentifiziert werden. Einem Domänencontroller, der innerhalb der Tombstone-Verfallzeit nicht repliziert wurde, kann das Löschen von Objekten entgehen, und er wird ggf. für die zukünftige Replikation gesperrt, bis er wieder abgestimmt wurde.

Führen Sie dcdiag.exe aus, um Verzeichnisserver anhand des Namens zu identifizieren.
Sie können auch das Supporttool repadmin.exe verwenden, um Replikations- latenzzeiten der Domänencontroller in der Struktur anzuzeigen. Der Befehl lautet "repadmin /showvector /latency <partition-dn>".
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e8478c5-3605-4e8c-8497-1e730c959516}" EventSourceName="NTDS Replication" />
<EventID Qualifiers="49152">1864</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>5</Task>
<Opcode>0</Opcode>
<Keywords>0x8080000000000000</Keywords>
<TimeCreated SystemTime="2012-07-02T13:37:51.404Z" />
<EventRecordID>7240</EventRecordID>
<Correlation />
<Execution ProcessID="576" ThreadID="760" />
<Channel>Directory Service</Channel>
<Computer>dc5.meinedomäne</Computer>
<Security UserID="S-1-5-7" />
</System>
<EventData>
<Data>DC=ForestDnsZones,DC=meinedomäne,DC=de</Data>
<Data>2</Data>
<Data>2</Data>
<Data>2</Data>
<Data>2</Data>
<Data>2</Data>
<Data>60</Data>
<Data>24</Data>
</EventData>
</Event>

und dcdiag auf einem der andren dc's z.B. DC5, nur die Fehler
Starting test: Replications
VON REPLIKATION ERHALTENE VERZÖGERUNGSWARNUNG
DUS-NETWORK: Aktuelle Uhrzeit: 2012-07-03 11:12:42.
DC=ForestDnsZones,DC=meinedomäne,DC=de
Letzte Replikation von DC3 erhalten um
2012-02-29 21:03:46
ACHTUNG: Von dieser Verzögerung wird die Tombstone-Lebensdauer
von 60 Tagen überschritten.
Letzte Replikation von DC2 erhalten um
2012-02-29 21:06:31
ACHTUNG: Von dieser Verzögerung wird die Tombstone-Lebensdauer
von 60 Tagen überschritten.
CN=Schema,CN=Configuration,DC=meinedomäne,DC=de
Letzte Replikation von DC3 erhalten um
2012-02-29 22:06:30
ACHTUNG: Von dieser Verzögerung wird die Tombstone-Lebensdauer
von 60 Tagen überschritten.
Letzte Replikation von DC2 erhalten um
2012-02-29 21:51:50
ACHTUNG: Von dieser Verzögerung wird die Tombstone-Lebensdauer
von 60 Tagen überschritten.
CN=Configuration,DC=meinedomäne,DC=de
Letzte Replikation von DC3 erhalten um
2012-02-29 20:18:44
ACHTUNG: Von dieser Verzögerung wird die Tombstone-Lebensdauer
von 60 Tagen überschritten.
Letzte Replikation von DC2 erhalten um
2012-02-29 20:21:30
ACHTUNG: Von dieser Verzögerung wird die Tombstone-Lebensdauer
von 60 Tagen überschritten.

Hoffe das ist genug Info's sollte noch was fehlen einfach melden. Also sowie ich euch bis jetzt verstanden habe kann es sein das nur ein Teil der Information nicht gesynct wird? Sprich die USeraccounts kommen durch aber was kommt dann nicht durch? und sowie ich da sehe und "Meinolf Weber" mir bestätigt hatte ist es der DC1 der Fehlerhaft ist und ich sollte den aus der Domäne rausnhemen und einen neuen DC installieren. Wollte nur sicher gehen und die Situation nicht verschlimmern wenn ich den DC1 rausnehem und einen neuen DC hinzufüge.
VG und vielen Dank für die Hilfe.
- Bearbeitet homermg Dienstag, 3. Juli 2012 09:32
Dienstag, 3. Juli 2012 09:24

Antworten

|

Zitieren
0

Anmelden

Hallo,

entferne den Server auf dem die Replikation nicht mehr funktioniert, wie schon angesprochen wurde. Da mehr als ein DC existiert ist das kein Problem. Danach lade bitte folgende Dateien zu Windows Sky Drive hoch, NICHT hier posten da es zuviel ist.

ipconfig /all >c:\ipconfig.txt [alle DCs]
dcdiag /v /c /d /e /s:dcname >c:\dcdiag.txt
repadmin /showrepl dc* /verbose /all /intersite >c:\repl.txt ["dc* ist ein Platzhalter für den Anfang der DC Namen, falls alle verschieden sind entferne "/e" und lass auf jedem DC ddiag laufen
dnslint /ad /s "DCIpaddresse" (http://support.microsoft.com/kb/321045)
Best regards

Meinolf Weber
MVP, MCP, MCTS
Microsoft MVP - Directory Services
My Blog: http://msmvps.com/blogs/mweber/

Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

Dienstag, 3. Juli 2012 09:51

Antworten

|

Zitieren
0

Anmelden

das ist ja mein Problem ich sehe egal auf welchen DC's ich dcdiag ausführe steht das die letzte Replikation von DC2 und DC3 länger als 60 Tage her ist. An der stelle würde ich sagen DC2 und DC 3 muss neue installiert werden. Wenn ich mir Eventlogs für AD anschaue sehe ich auf den DC2 und DC3 keine Fehler nur auf dem DC1 ein Haufen von Fehlern. :The attempt to establish a replication link for the following writable directory partition failed. zum DC3

In der Active Directory Standort und Dineste habe ich folgendes.

Da DC2 und DC3 in der gleichen Location stehen kriegt DC2 alles von DC3

DC3 von DC2 und von DC1

DC1 steht bei uns im Serverraum und kriegt alles von DC3 und von allen anderen die bei uns in dem Serverraum stehen(DC4, DC 5 usw.)

Ich vermute das DC1 der bei uns steht nichts mehr von DC2 und DC3 kriegt und würde an der stelle obwohl dcdiag mir sagt das von DC2und3 schon lange nichts mehr kam den DC1 neue installieren. Aus dem Grund habe ich einen Test mit dem Benutzeraccount gemacht aber dieser erscheint auf allen drei DC's egal auf welchem ich den anlege. Ich weiß einfach nciht welcher DC ist nun der Übeltäter und welchen ich löschen soll.

Dienstag, 3. Juli 2012 15:56

Antworten

|

Zitieren
0

Anmelden
Hi,

gibt es bei Dir verwaiste Connection-Objekte unterhalb der NTDS Settings des betroffenen Domain Controllers mit Event 1864:

-> Active Directory - Sites and Services
-> <Site-of-DC1>
-> Servers
-> <DC1>
-> NTDS Settings

und wurde auf dem Site-Link zwischen DC1 und DC2/DC3 folgende Option aktiviert:

IS_TOPL_DETECT_STALE_DISABLED

Example:

C:\>repamin /showrepl DC3
[..]
<Site-of-DC3>\DC3
DSA Options: IS_GC
Site Options: IS_TOPL_DETECT_STALE_DISABLED
[..]

Wenn ja:

Löschen der verwaisten "Connection Objects"
Erneutes Replizieren der "Configuration Partition" (s. http://technet.microsoft.com/en-us/library/cc816836.aspx)
Anstoßen des KCC ("repadmin /kcc")

Ansonsten schau Dir auf dem betroffenen Domain Controller mit Event 1864 die Ausgabe von:

repadmin /showutdvec localhost DC=ForestDnsZones,DC=meinedomäne,DC=de /latency > C:\Temp\%computername%_repadmin_showutdvec_latency.txt

an.

Sollten dort gelöschte DSA-Einträge auftauchen, dann schau mal in der Configuration-Partition:

ldifde -x -f C:\Temp\%computername%_ldifde_partition_configuration.txt -d "CN=Configuation,DC=meinedomäne,DC=de"

nach, ob dort ebenso gelöschte "NTDS Settings"-Objekte auftauchen, die zwar das Attribute "isDelete=true" gesetzt haben, jedoch NICHT unter "Deleted Objects" referenziert sind, sondern ganz normal unter dem zugehörigen Serverobjekt, z.B.:

CN=NTDS Settings\0ADEL:<alte GUID>,CN=DCx,CN=Servers,CN=<Site-Name>,CN=Sites,CN=Configuration,DC=meinedomäne,DC=de

Dies ist u.a. dann möglich, wenn ein DC mittels DCpromo aus der Domäne herauasgenommen wurdeund kurz danach wieder mittels DCpromo erneut mit gleichen Namen hinzugefügt wurde bevor sämtliche DCs diese Änderung durchrepliziert hatten.

Einzige Abhilfe hierbei:

Betroffene DCs komplett aus dem AD herausnehmen, verwaiste Objekte ggf. herauslöschen und einen kompletten Replikationszyklus abwaren, bis sämtliche DCs diese Änderungen mitbekommen haben. Erst dann wieder den DC mit selben Namen hinzufügen.

Hinweis: Es ist nicht empfohlen DCs wieder mit dem selben Namen dem AD nach einem "Demote" erneut mittels 2dcpromo" hinzuzufügen.
-
Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
Mittwoch, 4. Juli 2012 15:21

Antworten

|

Zitieren
0

Anmelden

Hi Tobias,

1

gibt es bei Dir verwaiste Connection-Objekte unterhalb der NTDS Settings des betroffenen Domain Controllers mit Event 1864:

-> Active Directory - Sites and Services
-> <Site-of-DC1>
-> Servers
-> <DC1>
-> NTDS Settings

In der MMC Active Directory - Sites and Service unter NTDS Settings habe ich nur die Verbindungen aufgelistet aber nichts mit verwaiste Connection Objekte, ich denke mal es würde bei der Spalte Beschreibung stehen?

PS. Event 1864 ist tauscht auf jedem CDC im Netzwerk auf ausser auf dem DC1,2 und 3

Auf DC1 habe ich nur folgende Fehler:
The attempt to establish a replication link for the following writable directory partition failed. Event ID 1925
und
It has been too long since this machine last replicated with the named source machine. The time between replications with this source has exceeded the tombstone lifetime. Replication has been stopped with this source. Event ID 2042

2.

C:\>repamin /showrepl DC3
[..]
<Site-of-DC3>\DC3
DSA Options: IS_GC
Site Options: IS_TOPL_DETECT_STALE_DISABLED
[..]

Site Options ist bei mir auf "IS_GROUP_CACHING_ENABLED

3.

repadmin /showutdvec localhost DC=ForestDnsZones,DC=meinedomäne,DC=de /latency > C:\Temp\%computername%_repadmin_showutdvec_latency.txt

Habe ich gemachtIch sehe dort einige Einträge mit langen Nummer und alle meine DC's und bei 2 DC's veraltet Daten:

Site\DC3 auf USN 26799253 um 2012-02-29 21:03:46

Site\DC2 auf USN 13093793 um 2012-02-29 21:06:31

Habe das jetzt auf 4 DC'S ausgeführt:

DC2 und DC3 zeigt mir alle Server uptodate an
PS. (die beiden stehen in einer Location/Stadt)

DC3 und alle andren zeigen mir das DC2 und DC3 nicht uptodate sind (2012-02-29)

4

ldifde -x -f C:\Temp\%computername%_ldifde_partition_configuration.txt -d "CN=Configuation,DC=meinedomäne,DC=de"

ist leer

Bin jetzt ganz verwirrt :-( welchen ich rausnehme und ersetzen sollte.)

Ich tippe ja noch immer auf DC1 weil der ja die Replikation von DC3 und DC3 von DC2 bekommt. und alle anderen DC4,5,6,7 usw bekommen die Replikation von DC1.

Das heißt dann doch das der DC1 die Replikationen nicht weitergibt oder sehe ich das falsch?

Kann ich irgendwo erkennen wo bei den DC1, DC2 und DC3 die älteren Daten vorhanden sind?

VG und danke für die Hilfe

Donnerstag, 5. Juli 2012 13:28

Antworten

|

Zitieren
0

Anmelden

Sorry, aber langsam blick ich nicht mehr durch, was wo wie wann wieso geht und nicht geht.

Das sollte man/Experte sich am Besten mal vor Ort ansehen. Hier so im Chat ist das eher mühselig, weil teilweise auch die Logs gekürzt sind.

Am Besten Du machst einen Support Call bei Microsoft auf.
-
Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net

Donnerstag, 5. Juli 2012 15:18

Antworten

|

Zitieren
0

Anmelden

Nimm doch mal das hier zu Hilfe:

http://www.microsoft.com/en-us/download/details.aspx?id=30005

Vielleicht wird's dann übersichtlicher...

mfg Martin

NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

Freitag, 6. Juli 2012 06:18

Antworten

|

Zitieren
0

Anmelden
Hi Leute,

würde das Problem gerne mit eurer Hilfe selber lösen, dabei kann man am besten lernen.

Habe gerade ein Diagramm unseres Netzwerkes erstellt. Ich denke da habt ihr super Überblick.
- Bearbeitet homermg Freitag, 6. Juli 2012 09:32
Freitag, 6. Juli 2012 09:31

Antworten

|

Zitieren
0

Anmelden

Jetzt sieht es schon ein wenig übersichtlicher aus.

Frage: AD Änderungen auf dem DC1.ru kommen auch wirklich fehlerfrei auf DC2.ru und DC3.ru an?

Würde mich wundern.

Wenn dem ("Änderungen auf dem DC1.ru kommen auch fehlerfrei auf DC2.ru und DC3.ru an") nicht so ist, ist die Site "Standort RU" seit langem von der Replikation abgeschnitten und die Ursache dafür muss gefunden werden (z.B. Firewall). Nachdem die Ursache gefunden ist muss die Site "Standort RU" neu aufgebaut werden.
-
Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net

Dienstag, 10. Juli 2012 14:28

Antworten

|

Zitieren
0

Anmelden
Hi Leute,

die Änderungen kommen von DC1.ru auf DC2.ru und DC3.ru durch. Habe eben einen USer auf dem DC1.ru angeleget und nach ein paar Minuten konnte ich den auch auf den DC2.ru und DC3.ru sehen. Hmmmm

die einzige Meldung die ich in den Eventlogs auf den DC2.ru und DC3.ru sehe ist folgendes:

Log Name: Directory Service
Source: Microsoft-Windows-ActiveDirectory_DomainService
Date: 02.07.2012 13:07:48
Event ID: 2887
Task Category: LDAP Interface
Level: Warning
Keywords: Classic
User: ANONYMOUS LOGON
Computer: dc3.ru
Description:

During the previous 24 hour period, some clients attempted to perform LDAP binds that were either:
(1) A SASL (Negotiate, Kerberos, NTLM, or Digest) LDAP bind that did not request signing (integrity validation), or
(2) A LDAP simple bind that was performed on a cleartext (non-SSL/TLS-encrypted) connection

This directory server is not currently configured to reject such binds. The security of this directory server can be significantly enhanced by configuring the server to reject such binds. For more details and information on how to make this configuration change to the server, please see http://go.microsoft.com/fwlink/?LinkID=87923.

Summary information on the number of these binds received within the past 24 hours is below.

You can enable additional logging to log an event each time a client makes such a bind, including information on which client made the bind. To do so, please raise the setting for the "LDAP Interface Events" event logging category to level 2 or higher.

Number of simple binds performed without SSL/TLS: 0
Number of Negotiate/Kerberos/NTLM/Digest binds performed without signing: 759
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-ActiveDirectory_DomainService" Guid="{0e847605-4e8497-1e730c959516}" EventSourceName="NTDS LDAP" />
<EventID Qualifiers="32768">2887</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>16</Task>
<Opcode>0</Opcode>
<Keywords>0x800000000</Keywords>
<TimeCreated SystemTime="2012-07-02T09:07:48.453Z" />
<EventRecordID>11045</EventRecordID>
<Correlation />
<Execution ProcessID="576" ThreadID="768" />
<Channel>Directory Service</Channel>
<Computer>dc3.ru</Computer>
<Security UserID="S-1-7" />
</System>
<EventData>
<Data>0</Data>
<Data>759</Data>
</EventData>
</Event>

Aber diese, sowie ich sehe scheint nichts mit meinem Problem zu tun zu haben.
- Bearbeitet homermg Montag, 16. Juli 2012 07:57
Freitag, 13. Juli 2012 12:52

Antworten

|

Zitieren