none
Active Directory replizierung RRS feed

  • Frage

  • Hallo,

    vor einigen Tagen hatten wir einen Servercrash. Der primäre DC fiel aus.

    Nach der Reparatur haben wir ihn wieder ins Netz genommen.

    Arbeiten mit beiden Servern (bilden einen Cluster) ist wieder möglich.

    Dcdiag gibt aber folgende Fehler aus: (Anfang des Protokolls)

    Wie kann ich das beheben?

     

    Microsoft Windows [Version 6.0.6002]
    Copyright (c) 2006 Microsoft Corporation. Alle Rechte vorbehalten.

    C:\Users\Administrator.AG47>dcdiag

    Verzeichnisserverdiagnose

    Anfangssetup wird ausgeführt:
       Der Homeserver wird gesucht...
       Homeserver = ICE-SRV-81
       * Identifizierte AD-Gesamtstruktur.
       Sammeln der Ausgangsinformationen abgeschlossen.

    Erforderliche Anfangstests werden ausgeführt.

       Server wird getestet: Default-First-Site-Name\ICE-SRV-81
          Starting test: Connectivity
             ......................... ICE-SRV-81 hat den Test Connectivity
             bestanden.

    Primärtests werden ausgeführt.

       Server wird getestet: Default-First-Site-Name\ICE-SRV-81
          Starting test: Advertising
             ......................... ICE-SRV-81 hat den Test Advertising
             bestanden.
          Starting test: FrsEvent
             ......................... ICE-SRV-81 hat den Test FrsEvent bestanden.
          Starting test: DFSREvent
             Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
             Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
             SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge
             haben.
             ......................... ICE-SRV-81 hat den Test DFSREvent nicht
             bestanden.
          Starting test: SysVolCheck
             ......................... ICE-SRV-81 hat den Test SysVolCheck
             bestanden.
          Starting test: KccEvent
             ......................... ICE-SRV-81 hat den Test KccEvent bestanden.
          Starting test: KnowsOfRoleHolders
             [ICE-SRV-8] DsBindWithSpnEx()-Fehler -2146893022,
             Der Zielprinzipalname ist falsch..
             Achtung: ICE-SRV-8 ist Schema Owner, reagiert jedoch nicht auf die
             DS-RPC-Bindung.
             [ICE-SRV-8] LDAP-Bindungsfehler 8341,
             Ein Verzeichnisdienstfehler ist aufgetreten..
             Achtung: ICE-SRV-8 ist Schema Owner, reagiert jedoch nicht auf die
             LDAP-Bindung.
             Achtung: ICE-SRV-8 ist Domain Owner, reagiert jedoch nicht auf die
             DS-RPC-Bindung.
             Achtung: ICE-SRV-8 ist Domain Owner, reagiert jedoch nicht auf die
             LDAP-Bindung.
             Achtung: ICE-SRV-8 ist PDC Owner, reagiert jedoch nicht auf die
             DS-RPC-Bindung.
             Achtung: ICE-SRV-8 ist PDC Owner, reagiert jedoch nicht auf die
             LDAP-Bindung.
             Achtung: ICE-SRV-8 ist Rid Owner, reagiert jedoch nicht auf die
             DS-RPC-Bindung.
             Achtung: ICE-SRV-8 ist Rid Owner, reagiert jedoch nicht auf die
             LDAP-Bindung.
             Achtung: ICE-SRV-8 ist Infrastructure Update Owner, reagiert jedoch
             nicht auf die DS-RPC-Bindung.
             Achtung: ICE-SRV-8 ist Infrastructure Update Owner, reagiert jedoch
             nicht auf die LDAP-Bindung.
             ......................... ICE-SRV-81 hat den Test KnowsOfRoleHolders
             nicht bestanden.
          Starting test: MachineAccount
             ......................... ICE-SRV-81 hat den Test MachineAccount
             bestanden.
          Starting test: NCSecDesc
             ......................... ICE-SRV-81 hat den Test NCSecDesc bestanden.
          Starting test: NetLogons
             ......................... ICE-SRV-81 hat den Test NetLogons bestanden.
          Starting test: ObjectsReplicated
             ......................... ICE-SRV-81 hat den Test ObjectsReplicated
             bestanden.
          Starting test: Replications
             [Replications Check,ICE-SRV-81] Bei einer kürzlich ausgeführten
             Replikation ist ein Fehler aufgetreten:
                Von ICE-SRV-8 nach ICE-SRV-81
                Namenskontext: DC=ForestDnsZones,DC=AG47,DC=de
                Beim Replizieren ist ein Fehler aufgetreten (1256):
                Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Be
    hebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

                Auftreten des Fehlers: 2010-07-13 08:51:50.
                Letzter erfolgreicher Vorgang: 2010-06-18 04:47:48.
                Seit dem letzten erfolgreichen Vorgang sind 604 Fehler aufgetreten.
             [Replications Check,ICE-SRV-81] Bei einer kürzlich ausgeführten
             Replikation ist ein Fehler aufgetreten:
                Von ICE-SRV-8 nach ICE-SRV-81
                Namenskontext: DC=DomainDnsZones,DC=AG47,DC=de
                Beim Replizieren ist ein Fehler aufgetreten (1256):
                Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Be
    hebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

                Auftreten des Fehlers: 2010-07-13 08:51:50.
                Letzter erfolgreicher Vorgang: 2010-06-18 04:47:48.
                Seit dem letzten erfolgreichen Vorgang sind 719 Fehler aufgetreten.
             [Replications Check,ICE-SRV-81] Bei einer kürzlich ausgeführten
             Replikation ist ein Fehler aufgetreten:
                Von ICE-SRV-8 nach ICE-SRV-81
                Namenskontext: CN=Schema,CN=Configuration,DC=AG47,DC=de
                Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
                Der Zielprinzipalname ist falsch.
                Auftreten des Fehlers: 2010-07-13 08:51:50.
                Letzter erfolgreicher Vorgang: 2010-06-18 04:47:48.
                Seit dem letzten erfolgreichen Vorgang sind 604 Fehler aufgetreten.
             [Replications Check,ICE-SRV-81] Bei einer kürzlich ausgeführten
             Replikation ist ein Fehler aufgetreten:
                Von ICE-SRV-8 nach ICE-SRV-81
                Namenskontext: CN=Configuration,DC=AG47,DC=de
                Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
                Der Zielprinzipalname ist falsch.
                Auftreten des Fehlers: 2010-07-13 08:51:50.
                Letzter erfolgreicher Vorgang: 2010-06-18 04:47:48.
                Seit dem letzten erfolgreichen Vorgang sind 604 Fehler aufgetreten.
             [Replications Check,ICE-SRV-81] Bei einer kürzlich ausgeführten
             Replikation ist ein Fehler aufgetreten:
                Von ICE-SRV-8 nach ICE-SRV-81
                Namenskontext: DC=AG47,DC=de
                Beim Replizieren ist ein Fehler aufgetreten (-2146893022):
                Der Zielprinzipalname ist falsch.
                Auftreten des Fehlers: 2010-07-13 08:51:50.
                Letzter erfolgreicher Vorgang: 2010-06-18 04:53:33.
                Seit dem letzten erfolgreichen Vorgang sind 604 Fehler aufgetreten.
             ......................... ICE-SRV-81 hat den Test Replications nicht
             bestanden.
          Starting test: RidManager
             ......................... ICE-SRV-81 hat den Test RidManager nicht
             bestanden.
          Starting test: Services
             ......................... ICE-SRV-81 hat den Test Services bestanden.
          Starting test: SystemLog

    Dienstag, 13. Juli 2010 07:58

Antworten

Alle Antworten

  • Hallo,

    vor einigen Tagen hatten wir einen Servercrash. Der primäre DC fiel aus.

    Nach der Reparatur haben wir ihn wieder ins Netz genommen.

    Arbeiten mit beiden Servern (bilden einen Cluster) ist wieder möglich.

    Dcdiag gibt aber folgende Fehler aus: (Anfang des Protokolls)

    Wie kann ich das beheben?


    Du hast deine Clusterknoten als DCs laufen? Keine gute Idee, wie man jetzt auch grad sieht. Wie habt ihr denn den DC1 "repariert"? Meist ist die sauberere Methode in per metadatacleanup rauszuwerfen und neu einzubinden.

     

    Bye

    Norbert

    Dienstag, 13. Juli 2010 08:21
  • Hi,

    Hallo,

    vor einigen Tagen hatten wir einen Servercrash. Der primäre DC fiel aus.

    Nach der Reparatur haben wir ihn wieder ins Netz genommen.

    Arbeiten mit beiden Servern (bilden einen Cluster) ist wieder möglich.

    Dcdiag gibt aber folgende Fehler aus: (Anfang des Protokolls)

    Wie kann ich das beheben?

    Hier noch ein paar Infos bzgl. DCs auf Clusterknoten:
    http://support.microsoft.com/kb/281662/en-us

    Gruß
    Max

    Dienstag, 13. Juli 2010 08:34
  •  

    "Du hast deine Clusterknoten als DCs laufen? Keine gute Idee, wie man jetzt auch grad sieht."

    Warum? Wir haben eine reine 2008er domain:

    "If you have a cluster deployment in which there is no link with either a Windows NT 4.0 domain, a Windows 2000 domain, or a Windows Server 2003 domain, you must configure the cluster nodes as domain controllers so that the Cluster service account can always be validated to allow for proper cluster functionality."

    Kann das wirklich die Problem-Ursache sein? Die Konfiguration lief seit über einem Jahr problemlos.

    Gruß Mike

     

    Dienstag, 13. Juli 2010 08:51
  • Servus,

    DCs zu Clustern ist in den allermeisten Fällen nicht notwendig. Zumal die Funktion des DC ohnehin nicht geclustert werden kann. 
    Somit würde man sich dann auch die Enterprise-Serverlizenz ersparen. Denn DCs werden über einen anderen Mechanismus,
    nämlich über die AD-Replikation redundant gehalten.

    Und nochmals die Frage: Wie wurde der DC repariert?

    Die Ursache für die Fehlermeldung "Der Zielprinzipalname ist falsch" könnte an einem veralteten Kennwort liegen.
    Überprüfen kannst du das, wenn du folgenden REPADMIN Befehl auf beiden DC Nodes ausführst.
    Auf ICE-SRV-8: Repadmin /Showmeta "CN=ICE-SRV-8,OU=Domain Controllers,DC=Domäne,DC=de" ICE-SRV-8

    Anschließend führst du den Befehl auf dem anderen Node ICE-SRV-81 wie folgt aus: Repadmin /Showmeta "CN=ICE-SRV-8,OU=Domain Controllers,DC=Domäne,DC=de" ICE-SRV-81.
    Zur leichteren Übersicht kannst du die Ausgabe mit "... > C:\Temp\DCDIAG.txt" in eine Textdatei umleiten.

    Halte bei der Ausgabe Ausschau nach jeweils diesen Attributen:

    - dBCSPwd
    - unicodePwd
    - ntPwdHistory
    - pwdLastSet

    Unterscheiden sich die Wert in der Spalte "Ver" zwischen beiden DCs, liegt ein veraltetes Kennwort vor.
    Wenn das so ist, stoppst und deaktivierst du auf dem ICE-SRV-81 den KDC Dienst. Nun startest du auf dem ICE-SRV-81 die AD-Domänendienste neu (das ist erst ab Windows Server 2008 möglich).

    [LDAP://Yusufs.Directory.Blog/ - Active Directory-Domänendienste (AD-DS)]
    http://blog.dikmenoglu.de/Active+DirectoryDom%c3%a4nendienste+ADDS.aspx

    Wenn anschließend DCDIAG keine Fehler mehr meldet, stellst du den KDC-Dienst erneut wieder auf "Automatisch".

    Aber entscheident ist, wie genau der DC repariert wurde.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Dienstag, 13. Juli 2010 10:00
    Moderator
  • Wenn du nur diese beiden Clusterknoten besitzt, dann bleibt dir tatsächlich nichts anderes übrig. (Wäre dann ein Domainlet) ;)

     http://support.microsoft.com/kb/281662 (wie man sieht sehr viele Einschränkungen und Besonderheiten)

    Mein Auto lief auch Jahre ohne Probleme bis es nicht mehr fuhr. ;)

    Die Frage über die Reparatur wurde übrigens nicht ganz grundlos gestellt.

    Bye

    Norbert

    Dienstag, 13. Juli 2010 10:53
  • Hallo,

    beim SRV-8 wurde defekter RAM getauscht, dann wurde er wieder in Betrieb genommen.

    Die Werte unterscheiden sich, siehe unten:

    Muss ich, da ja ein weiterer DC existiert, nach der Reparatur den Server aus dem AD entfernen
    und dann erneut als DC wieder hinzufügen in die Domäne?

    Oder kann ich so vorgehen, wie du es oben vorgeschlagen hast?

    Vielen DANK mike

    41 Eintr„ge.

    Lok.USN                           Ursprngl. DSA   Ur. USN  Ur.Zeit/Datum        Ver Attribut

    =======                           =============== ========= =============        === =========

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 objectClass

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 cn

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 description

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 instanceType

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 whenCreated

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 displayName

      12397         Default-First-Site-Name\ICE-SRV-8     12397 2009-08-05 17:14:29    2 nTSecurityDescriptor

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 name

      12292         Default-First-Site-Name\ICE-SRV-8     12292 2009-08-05 17:14:27    3 userAccountControl

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 codePage

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 countryCode

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 homeDirectory

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 homeDrive

     782366         Default-First-Site-Name\ICE-SRV-8    782366 2010-07-01 17:55:59   15 dBCSPwd

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 localPolicyFlags

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 scriptPath

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 logonHours

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 userWorkstations

     782366         Default-First-Site-Name\ICE-SRV-8    782366 2010-07-01 17:55:59   15 unicodePwd

     782366         Default-First-Site-Name\ICE-SRV-8    782366 2010-07-01 17:55:59   15 ntPwdHistory

     782366         Default-First-Site-Name\ICE-SRV-8    782366 2010-07-01 17:55:59   15 pwdLastSet

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 primaryGroupID

     782367         Default-First-Site-Name\ICE-SRV-8    782367 2010-07-01 17:55:59   14 supplementalCredentials

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 userParameters

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 profilePath

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 objectSid

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 comment

      12291         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 accountExpires

     782366         Default-First-Site-Name\ICE-SRV-8    782366 2010-07-01 17:55:59   15 lmPwdHistory

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 sAMAccountName

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 sAMAccountType

      12446         Default-First-Site-Name\ICE-SRV-8     12446 2009-08-05 17:14:42    1 operatingSystem

      20482         Default-First-Site-Name\ICE-SRV-8     20482 2009-08-07 07:30:27    2 operatingSystemVersion

      20482         Default-First-Site-Name\ICE-SRV-8     20482 2009-08-07 07:30:27    2 operatingSystemServicePack

      12448         Default-First-Site-Name\ICE-SRV-8     12448 2009-08-05 17:14:42    1 dNSHostName

      12442         Default-First-Site-Name\ICE-SRV-8     12442 2009-08-05 17:14:30    1 rIDSetReferences

      65881         Default-First-Site-Name\ICE-SRV-8     65881 2009-08-13 14:40:17   24 servicePrincipalName

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 objectCategory

      12290         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 isCriticalSystemObject

     798708         Default-First-Site-Name\ICE-SRV-8    798708 2010-07-11 18:12:46   33 lastLogonTimestamp

      12446         Default-First-Site-Name\ICE-SRV-8     12446 2009-08-05 17:14:42    1 msDS-SupportedEncryptionTypes

    0 Eintr„ge.

    Typ     Attribut      Zul. ge„ndert                           Ursprgl. DSA     Lok.USN Ur.USN  Ver

    ======= ============  =============                           ================= ======= ======= ===

            Definierter Name

            =============================



    41 Eintr„ge.

    Lok.USN                           Ursprngl. DSA   Ur. USN  Ur.Zeit/Datum        Ver Attribut

    =======                           =============== ========= =============        === =========

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 objectClass

       7620        Default-First-Site-Name\ICE-SRV-81      7620 2009-08-12 13:55:08    1 cn

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 description

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 instanceType

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 whenCreated

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 displayName

       7620         Default-First-Site-Name\ICE-SRV-8     12397 2009-08-05 17:14:29    2 nTSecurityDescriptor

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 name

       7620         Default-First-Site-Name\ICE-SRV-8     12292 2009-08-05 17:14:27    3 userAccountControl

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 codePage

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 countryCode

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 homeDirectory

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 homeDrive

     824540         Default-First-Site-Name\ICE-SRV-8    728141 2010-06-04 02:09:52   13 dBCSPwd

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 localPolicyFlags

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 scriptPath

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 logonHours

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 userWorkstations

     824540         Default-First-Site-Name\ICE-SRV-8    728141 2010-06-04 02:09:52   13 unicodePwd

     824540         Default-First-Site-Name\ICE-SRV-8    728141 2010-06-04 02:09:52   13 ntPwdHistory

     824540         Default-First-Site-Name\ICE-SRV-8    728141 2010-06-04 02:09:52   13 pwdLastSet

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 primaryGroupID

     824540         Default-First-Site-Name\ICE-SRV-8    728142 2010-06-04 02:09:52   12 supplementalCredentials

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 userParameters

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 profilePath

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 objectSid

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 comment

       7620         Default-First-Site-Name\ICE-SRV-8     12291 2009-08-05 17:14:27    1 accountExpires

     824540         Default-First-Site-Name\ICE-SRV-8    728141 2010-06-04 02:09:52   13 lmPwdHistory

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 sAMAccountName

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 sAMAccountType

       7620         Default-First-Site-Name\ICE-SRV-8     12446 2009-08-05 17:14:42    1 operatingSystem

       7620         Default-First-Site-Name\ICE-SRV-8     20482 2009-08-07 07:30:27    2 operatingSystemVersion

       7620         Default-First-Site-Name\ICE-SRV-8     20482 2009-08-07 07:30:27    2 operatingSystemServicePack

       7620         Default-First-Site-Name\ICE-SRV-8     12448 2009-08-05 17:14:42    1 dNSHostName

       7620         Default-First-Site-Name\ICE-SRV-8     12442 2009-08-05 17:14:30    1 rIDSetReferences

      28800         Default-First-Site-Name\ICE-SRV-8     65881 2009-08-13 14:40:17   24 servicePrincipalName

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 objectCategory

       7620         Default-First-Site-Name\ICE-SRV-8     12290 2009-08-05 17:14:27    1 isCriticalSystemObject

     844293         Default-First-Site-Name\ICE-SRV-8    743753 2010-06-10 17:47:16   31 lastLogonTimestamp

       7620         Default-First-Site-Name\ICE-SRV-8     12446 2009-08-05 17:14:42    1 msDS-SupportedEncryptionTypes

    0 Eintr„ge.

    Typ     Attribut      Zul. ge„ndert                           Ursprgl. DSA     Lok.USN Ur.USN  Ver

    ======= ============  =============                           ================= ======= ======= ===

            Definierter Name

            =============================

    Dienstag, 13. Juli 2010 11:35
  • > Muss ich, da ja ein weiterer DC existiert, nach der Reparatur den Server aus dem AD entfernen
    > und dann erneut als DC wieder hinzufügen in die Domäne?

    Wenn lediglich der RAM getauscht wurde und der DC nicht monatelang aus war, ist das nicht notwendig.

    > Oder kann ich so vorgehen, wie du es oben vorgeschlagen hast?

    Ja, du kannst meinen Anweisungen folgen.

    Aber nochmals: Ich würde das Konstrukt mit dem DC-Cluster überdenken.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Dienstag, 13. Juli 2010 11:55
    Moderator
  • Aber nochmals: Ich würde das Konstrukt mit dem DC-Cluster überdenken.

    O.K.,

    aber erst muss die Synchronisierung wieder laufen.

    VIelen Dank, werde heute abend den KDC Dienst auf dem SRV-81 beenden ...

    Zwei Fragen hätte ich noch:

    Warum muss der KDC-Dienst auch deaktviert werden?

    Wie lange muss ich mit dem NeuStart der AD-Domänendienste auf SRV-81 warten?

    Vielen Dank, Mike

    Dienstag, 13. Juli 2010 13:52
  • > Warum muss der KDC-Dienst auch deaktviert werden?

    Weil nach dem Starten der AD-Domänendienste der KDC sonst mit gestartet werden würde, was eben nicht sein soll.
    Der DC muss sich ein Ticket vom KDC des anderen DCs besorgen.

    > Wie lange muss ich mit dem NeuStart der AD-Domänendienste auf SRV-81 warten?

    Du kannst das direkt durchführen. Mit dem neu Starten der AD-Domänendienste werden die zwischengespeicherten Tickets verworfen. Wenn nun die AD-Domänendienste gestartet werden wird der KDC diesmal nicht automatisch mit gestartet, da er ja auf "disabled" steht. Somit verwendet dann der DC den KDC von einem anderen DC. Danach sollte alles wieder passen.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Dienstag, 13. Juli 2010 14:01
    Moderator
  • Hallo,

    ich bekomme immer noch Fehler, zwar andere, aber keineswegs beruhigende...

    DCDIAG meldet:

    Verzeichnisserverdiagnose


    Anfangssetup wird ausgefhrt:

       Der Homeserver wird gesucht...

       Homeserver = ICE-SRV-81

       * Identifizierte AD-Gesamtstruktur.
       Sammeln der Ausgangsinformationen abgeschlossen.


    Erforderliche Anfangstests werden ausgefhrt.

      
       Server wird getestet: Default-First-Site-Name\ICE-SRV-81

          Starting test: Connectivity

             ......................... ICE-SRV-81 hat den Test Connectivity

             bestanden.



    Prim„rtests werden ausgefhrt.

      
       Server wird getestet: Default-First-Site-Name\ICE-SRV-81

          Starting test: Advertising

             Achtung: Von ICE-SRV-81 werden keine Ankndigungen als

             Schlsselverteilungscenter vorgenommen.

             šberprfen Sie, ob das Verzeichnis gestartet wurde.

             ......................... ICE-SRV-81 hat den Test Advertising nicht

             bestanden.

          Starting test: FrsEvent

             ......................... ICE-SRV-81 hat den Test FrsEvent bestanden.

          Starting test: DFSREvent

             Fr den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

             Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

             SYSVOL-Replikation k”nnen Probleme mit der Gruppenrichtlinie zur Folge

             haben.
             ......................... ICE-SRV-81 hat den Test DFSREvent nicht

             bestanden.

          Starting test: SysVolCheck

             ......................... ICE-SRV-81 hat den Test SysVolCheck

             bestanden.

          Starting test: KccEvent

             ......................... ICE-SRV-81 hat den Test KccEvent bestanden.

          Starting test: KnowsOfRoleHolders

             ......................... ICE-SRV-81 hat den Test KnowsOfRoleHolders

             bestanden.

          Starting test: MachineAccount

             ......................... ICE-SRV-81 hat den Test MachineAccount

             bestanden.

          Starting test: NCSecDesc

             ......................... ICE-SRV-81 hat den Test NCSecDesc bestanden.

          Starting test: NetLogons

             ......................... ICE-SRV-81 hat den Test NetLogons bestanden.

          Starting test: ObjectsReplicated

             ......................... ICE-SRV-81 hat den Test ObjectsReplicated

             bestanden.

          Starting test: Replications

             ......................... ICE-SRV-81 hat den Test Replications

             bestanden.

          Starting test: RidManager

             ......................... ICE-SRV-81 hat den Test RidManager

             bestanden.

          Starting test: Services

                Ungltiger Dienststarttyp: kdc auf ICE-SRV-81; aktueller Wert:

                DISABLED; erwarteter Wert: AUTO_START

                Der Dienst kdc auf [ICE-SRV-81] wurde beendet.

             ......................... ICE-SRV-81 hat den Test Services nicht

             bestanden.

          Starting test: SystemLog

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x40000004

                Erstellungszeitpunkt: 07/13/2010   19:17:17

                Ereigniszeichenfolge:

                Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "ICE-srv-8$" empfangen. Der verwendete Zielname war AG47\ICE-SRV-8$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (AG47.DE) von der Clientdom„ne (AG47.DE) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x40000004

                Erstellungszeitpunkt: 07/13/2010   19:37:28

                Ereigniszeichenfolge:

                Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "ICE-srv-8$" empfangen. Der verwendete Zielname war cifs/ICE-SRV-8.AG47.de. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (AG47.DE) von der Clientdom„ne (AG47.DE) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x000004BF

                Erstellungszeitpunkt: 07/13/2010   19:38:57

                Ereigniszeichenfolge:

                Die Integrit„tsprfung der Cluster-Netzwerknamensressource "Clustername" war nicht erfolgreich. Der Netzwerkname "ICE-C-1" ist nicht mehr auf dem Knoten registriert. Fehlercode: "5038". Prfen Sie, ob Hardware- oder Softwarefehler in Bezug auf die Netzwerkkarte vorliegen. Sie k”nnen auch den Konfigurationsberprfungs-Assistenten ausfhren, um die Netzwerkkonfiguration zu prfen.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x000004BF

                Erstellungszeitpunkt: 07/13/2010   19:38:57

                Ereigniszeichenfolge:

                Die Integrit„tsprfung der Cluster-Netzwerknamensressource "ICE-C-1FS" war nicht erfolgreich. Der Netzwerkname "ICE-C-1FS" ist nicht mehr auf dem Knoten registriert. Fehlercode: "5038". Prfen Sie, ob Hardware- oder Softwarefehler in Bezug auf die Netzwerkkarte vorliegen. Sie k”nnen auch den Konfigurationsberprfungs-Assistenten ausfhren, um die Netzwerkkonfiguration zu prfen.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x000004BF

                Erstellungszeitpunkt: 07/13/2010   19:38:57

                Ereigniszeichenfolge:

                Die Integrit„tsprfung der Cluster-Netzwerknamensressource "Clustername" war nicht erfolgreich. Der Netzwerkname "ICE-C-1" ist nicht mehr auf dem Knoten registriert. Fehlercode: "5038". Prfen Sie, ob Hardware- oder Softwarefehler in Bezug auf die Netzwerkkarte vorliegen. Sie k”nnen auch den Konfigurationsberprfungs-Assistenten ausfhren, um die Netzwerkkonfiguration zu prfen.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x000004BF

                Erstellungszeitpunkt: 07/13/2010   19:38:57

                Ereigniszeichenfolge:

                Die Integrit„tsprfung der Cluster-Netzwerknamensressource "ICE-C-1FS" war nicht erfolgreich. Der Netzwerkname "ICE-C-1FS" ist nicht mehr auf dem Knoten registriert. Fehlercode: "5038". Prfen Sie, ob Hardware- oder Softwarefehler in Bezug auf die Netzwerkkarte vorliegen. Sie k”nnen auch den Konfigurationsberprfungs-Assistenten ausfhren, um die Netzwerkkonfiguration zu prfen.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000042D

                Erstellungszeitpunkt: 07/13/2010   19:38:57

                Ereigniszeichenfolge:

                Bei der Clusterressource "ICE-C-1FS" im geclusterten Dienst oder in der geclusterten Anwendung "ICE-C-1FS" ein Fehler aufgetreten.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000042D

                Erstellungszeitpunkt: 07/13/2010   19:38:57

                Ereigniszeichenfolge:

                Bei der Clusterressource "Clustername" im geclusterten Dienst oder in der geclusterten Anwendung "Clustergruppe" ein Fehler aufgetreten.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x40000004

                Erstellungszeitpunkt: 07/13/2010   19:39:02

                Ereigniszeichenfolge:

                Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "ICE-srv-81$" empfangen. Der verwendete Zielname war cifs/ICE-C-1.AG47.de. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (AG47.DE) von der Clientdom„ne (AG47.DE) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x40000004

                Erstellungszeitpunkt: 07/13/2010   19:39:02

                Ereigniszeichenfolge:

                Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "ICE-srv-81$" empfangen. Der verwendete Zielname war cifs/ICE-C-1FS.AG47.de. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, dass der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN bei dem Konto registriert ist, das vom Server verwendet wird, und zwar ausschlieálich bei diesem Konto. Dieser Fehler kann auch auftreten, wenn der Zieldienst ein anderes Kennwort fr das Zieldienstkonto verwendet als das Kennwort, das vom Kerberos-KDC (Key Distribution Center) fr das Zieldienstkonto verwendet wird. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide fr die Verwendung des aktuellen Kennworts aktualisiert wurden. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldom„ne (AG47.DE) von der Clientdom„ne (AG47.DE) unterscheidet, prfen Sie, ob sich in diesen beiden Dom„nen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x000004B7

                Erstellungszeitpunkt: 07/13/2010   19:39:02

                Ereigniszeichenfolge:

                Die Clusternetzwerk-Namensressource "ICE-C-1FS" konnte nicht online geschaltet werden. Das mit der Ressource verknpfte Computerobjekt konnte in der Dom„ne "AG47.de" nicht aktualisiert werden. Ursache:


             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000042D

                Erstellungszeitpunkt: 07/13/2010   19:39:02

                Ereigniszeichenfolge:

                Bei der Clusterressource "ICE-C-1FS" im geclusterten Dienst oder in der geclusterten Anwendung "ICE-C-1FS" ein Fehler aufgetreten.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x000004B7

                Erstellungszeitpunkt: 07/13/2010   19:39:02

                Ereigniszeichenfolge:

                Die Clusternetzwerk-Namensressource "Clustername" konnte nicht online geschaltet werden. Das mit der Ressource verknpfte Computerobjekt konnte in der Dom„ne "AG47.de" nicht aktualisiert werden. Ursache:


             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x0000042D

                Erstellungszeitpunkt: 07/13/2010   19:39:02

                Ereigniszeichenfolge:

                Bei der Clusterressource "Clustername" im geclusterten Dienst oder in der geclusterten Anwendung "Clustergruppe" ein Fehler aufgetreten.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x000004B5

                Erstellungszeitpunkt: 07/13/2010   19:39:02

                Ereigniszeichenfolge:

                Der Clusterdienst konnte den geclusterten Dienst oder die geclusterten Anwendung "ICE-C-1FS" nicht vollst„ndig online oder offline schalten. M”glicherweise befindet sich mindestens eine Ressource in einem fehlerhaften Zustand. Dies kann sich auf die Verfgbarkeit des geclusterten Diensts oder der geclusterten Anwendung auswirken.

             Ein Error-Ereignis ist aufgetreten. Ereignis-ID: 0x000004B5

                Erstellungszeitpunkt: 07/13/2010   19:39:02

                Ereigniszeichenfolge:

                Der Clusterdienst konnte den geclusterten Dienst oder die geclusterten Anwendung "Clustergruppe" nicht vollst„ndig online oder offline schalten. M”glicherweise befindet sich mindestens eine Ressource in einem fehlerhaften Zustand. Dies kann sich auf die Verfgbarkeit des geclusterten Diensts oder der geclusterten Anwendung auswirken.

             ......................... ICE-SRV-81 hat den Test SystemLog nicht

             bestanden.

          Starting test: VerifyReferences

             ......................... ICE-SRV-81 hat den Test VerifyReferences

             bestanden.

      
      
       Partitionstests werden ausgefhrt auf: ForestDnsZones

          Starting test: CheckSDRefDom

             ......................... ForestDnsZones hat den Test CheckSDRefDom

             bestanden.

          Starting test: CrossRefValidation

             ......................... ForestDnsZones hat den Test

             CrossRefValidation bestanden.

      
       Partitionstests werden ausgefhrt auf: DomainDnsZones

          Starting test: CheckSDRefDom

             ......................... DomainDnsZones hat den Test CheckSDRefDom

             bestanden.

          Starting test: CrossRefValidation

             ......................... DomainDnsZones hat den Test

             CrossRefValidation bestanden.

      
       Partitionstests werden ausgefhrt auf: Schema

          Starting test: CheckSDRefDom

             ......................... Schema hat den Test CheckSDRefDom bestanden.

          Starting test: CrossRefValidation

             ......................... Schema hat den Test CrossRefValidation

             bestanden.

      
       Partitionstests werden ausgefhrt auf: Configuration

          Starting test: CheckSDRefDom

             ......................... Configuration hat den Test CheckSDRefDom

             bestanden.

          Starting test: CrossRefValidation

             ......................... Configuration hat den Test

             CrossRefValidation bestanden.

      
       Partitionstests werden ausgefhrt auf: AG47

          Starting test: CheckSDRefDom

             ......................... AG47 hat den Test CheckSDRefDom bestanden.

          Starting test: CrossRefValidation

             ......................... AG47 hat den Test CrossRefValidation

             bestanden.

      
       Unternehmenstests werden ausgefhrt auf: AG47.de

          Starting test: LocatorCheck

             ......................... AG47.de hat den Test LocatorCheck bestanden.

          Starting test: Intersite

             ......................... AG47.de hat den Test Intersite bestanden.

    Dienstag, 13. Juli 2010 18:11
  • Siehst du, dass hast du nun von deinem DC-Cluster. ;-Þ

    Hast du den KDC-Dienst auch wieder auf "Automatisch" gestellt und gestartet? Nein? Dann aber los.
    Dann gibt es scheinbar noch ein Problem mit den SPNs. Arbeite dazu den folgenden Artikel durch;

    [Event ID 11 in the System log of domain controllers]
    http://support.microsoft.com/kb/321044/en-us

    Mit dem Cluster gibt es auch noch ein Problem. Aber eins nach dem anderen.


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Mittwoch, 14. Juli 2010 22:44
    Moderator