Benutzer mit den meisten Antworten
Fehlerhafter DC1 nach Failover/Failback
Frage
-
Hallo Technet-Community,
ich beschäftige mich seit Tagen mit einem Problem für das ich bisher keine Lösung gefunden habe, daher wende ich mich mit meiner Frage an dieses Forum und hoffe auf Hinweiße und Tipps, oder Erfahrungen mit einem solchen Problem. Ich versuche das ganze so kurz wie möglich zu halten, wenn zusätzliche Informationen benötigt werden, trage ich diese schnellstmöglich zusammen.
Szenario:
Wir haben auf unserem Gelände zwei Serverräume in denen wir jeweils drei Hyper-V Server auf aktueller HP Hardware betreiben. Der Standort 1 dient als produktive Umgebung, der Standort 2 hält aktuelle Replikate aller Server, unseren zweiten DC und einige "unwichtige" Servicerechner sowie Testmaschinen.
Aufgrund von Bauarbeiten an Standort 1 haben wir einen geplanten Failover auf Standort 2 durchgeführt und wollten nach Abschluss der Bauarbeiten einen Failback auf Standort 1 durchführen. Das hat bei allen Servern auch funktioniert, bis auf unseren ersten DC. Dieser zeigte nach dem Failback einen Bluescreen der auf Probleme mit der AD zurückzuführen ist.
An diesem Punkt haben wir den Fehler gemacht nicht den normalen Recoveryweg über den Verzeichnisdienst-Wiederherstellungsmodus zu gehen, sondern sind mit unserer Backup-Software wieder zurück auf das Failover Replikat gesprungen. An dieser Stelle wurde allerdings nicht der "aktuellen" Zustand gebootet sondern der Prüfpunkt vom Zeitpunkt des ersten Failovers (5 Tage zuvor). Unser erster DC wurde also um 5 Tage zurückgesetz. Anmeldungen über den ersten DC waren nicht mehr möglich, zudem zeigten alle Clients einen Kerberos Fehler (KRB_AP_ERR_MODIFIED Ereignis-ID: 4), DNS Fehler der Art "Fehler beim Registrieren der Hostressourceneinträge" (Quelle DNS Client Events ID 8019) und Fehler beim Verarbeiten der Gruppenrichtlinien (ID 1129).
Ich gehe also davon aus das der erste DC nicht mehr ordnungsgemäß arbeitet. Die Replikationen mit dem zweiten DC schlagen in die ausgehende Richtung fehl und dcdiag zeigt diverse Probleme. (Logs s.u.)
Nun bin ich mir nicht sicher wie das richtige Vorgehen in so einer Situation ist, abgesehen davon das ich mittlerweile weiß das Replikationen und Snapshots für DCs Probleme machen, bin ich leider noch keinen Schritt weiter gekommen.
Die einfachste Lösung erscheint mir zur Zeit etwas in der Art:
If you have another healthy DC with GC then you can proceed like that:
- Force demotion of the faulty DC by running dcpromo /forceremoval
- Perform a metadata cleanup
- Run netdom query fsmo to see if the old DC was an FSMO holder. If yes, resize the FSMO roles that it was holding on another DC
- Promote again the DC
Allerdings muss ich zugeben das diese Situation mein Know-How deutlich übersteigt und ich würde gerne ein paar zusätzliche Meinungen haben.
Vielen Dank für jede Form von Hilfe im voraus!
Logs:
dcdiag erster DC:
Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Der Homeserver wird gesucht... Homeserver = S1 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgeführt. Server wird getestet: Standardname-des-ersten-Standorts\S1 Starting test: Connectivity ......................... S1 hat den Test Connectivity bestanden. Primärtests werden ausgeführt. Server wird getestet: Standardname-des-ersten-Standorts\S1 Starting test: Advertising Achtung: Bei dem Versuch, S1 zu erreichen, wurden von DsGetDcName Informationen für \\S4.domain.local zurückgegeben. DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET. ......................... Der Test Advertising für S1 ist fehlgeschlagen. Starting test: FrsEvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. ......................... S1 hat den Test FrsEvent bestanden. Starting test: DFSREvent ......................... S1 hat den Test DFSREvent bestanden. Starting test: SysVolCheck ......................... S1 hat den Test SysVolCheck bestanden. Starting test: KccEvent Warnung. Ereignis-ID: 0x800004C0 Erstellungszeitpunkt: 01/12/2016 08:18:37 Ereigniszeichenfolge: Internal event: An LDAP client connection was closed because of an error. Warnung. Ereignis-ID: 0x800004C0 Erstellungszeitpunkt: 01/12/2016 08:19:07 Ereigniszeichenfolge: Internal event: An LDAP client connection was closed because of an error. ......................... S1 hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders ......................... S1 hat den Test KnowsOfRoleHolders bestanden. Starting test: MachineAccount ......................... S1 hat den Test MachineAccount bestanden. Starting test: NCSecDesc ......................... S1 hat den Test NCSecDesc bestanden. Starting test: NetLogons Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt werden. (\\S1\netlogon) [S1] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der Fehler 67 aufgetreten, Der Netzwerkname wurde nicht gefunden.. ......................... Der Test NetLogons für S1 ist fehlgeschlagen. Starting test: ObjectsReplicated ......................... S1 hat den Test ObjectsReplicated bestanden. Starting test: Replications [Replikationsüberprüfung, S1] Fehler bei DsReplicaGetInfo(PENDING_OPS, NULL): 0x2105 "Der Replikationszugriff wurde verweigert." ......................... Der Test Replications für S1 ist fehlgeschlagen. Starting test: RidManager ......................... S1 hat den Test RidManager bestanden. Starting test: Services Der Dienst NTDS auf S1 konnte nicht geöffnet werden. Fehler: 0x5 "Zugriff verweigert" ......................... Der Test Services für S1 ist fehlgeschlagen. Starting test: SystemLog Fehler. Ereignis-ID: 0x0000272C Erstellungszeitpunkt: 01/12/2016 07:33:54 Ereigniszeichenfolge: DCOM konnte mit keinem der konfigurierten Protokolle mit dem Computer "domaints.domain.local" kommunizieren; angefordert von PID 5c8 (C:\Windows\system32\ServerManager.exe). Fehler. Ereignis-ID: 0x0000272C Erstellungszeitpunkt: 01/12/2016 07:33:54 ......................... Der Test SystemLog für S1 ist fehlgeschlagen. Starting test: VerifyReferences ......................... S1 hat den Test VerifyReferences bestanden. Partitionstests werden ausgeführt auf: ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: Schema Starting test: CheckSDRefDom ......................... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: Configuration Starting test: CheckSDRefDom ......................... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: domain Starting test: CheckSDRefDom ......................... domain hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... domain hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgeführt auf: domain.local Starting test: LocatorCheck ......................... domain.local hat den Test LocatorCheck bestanden. Starting test: Intersite ......................... domain.local hat den Test Intersite bestanden.
/showreps erster DC
Standardname-des-ersten-Standorts\S1 DSA-Optionen: IS_GC Standortoptionen: (none) DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c DSA-Aufrufkennung: 8dd145e8-c12f-4fc7-a228-3a68b6fd8a49 ==== EINGEHENDE NACHBARN===================================== DC=domain,DC=local Standardname-des-ersten-Standorts\S4 über RPC DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich. CN=Configuration,DC=domain,DC=local Standardname-des-ersten-Standorts\S4 über RPC DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich. CN=Schema,CN=Configuration,DC=domain,DC=local Standardname-des-ersten-Standorts\S4 über RPC DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich. DC=DomainDnsZones,DC=domain,DC=local Standardname-des-ersten-Standorts\S4 über RPC DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich. DC=ForestDnsZones,DC=domain,DC=local Standardname-des-ersten-Standorts\S4 über RPC DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c Letzter Versuch am 2016-01-12 07:54:27 war erfolgreich. DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105): Der Replikationszugriff wurde verweigert. DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105): Der Replikationszugriff wurde verweigert.
dcdiag zweiter DC:
Verzeichnisserverdiagnose Anfangssetup wird ausgeführt: Der Homeserver wird gesucht... Homeserver = S4 * Identifizierte AD-Gesamtstruktur. Sammeln der Ausgangsinformationen abgeschlossen. Erforderliche Anfangstests werden ausgeführt. Server wird getestet: Standardname-des-ersten-Standorts\S4 Starting test: Connectivity ......................... S4 hat den Test Connectivity bestanden. Primärtests werden ausgeführt. Server wird getestet: Standardname-des-ersten-Standorts\S4 Starting test: Advertising ......................... S4 hat den Test Advertising bestanden. Starting test: FrsEvent Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben. ......................... S4 hat den Test FrsEvent bestanden. Starting test: DFSREvent ......................... S4 hat den Test DFSREvent bestanden. Starting test: SysVolCheck ......................... S4 hat den Test SysVolCheck bestanden. Starting test: KccEvent ......................... S4 hat den Test KccEvent bestanden. Starting test: KnowsOfRoleHolders [S1] DsBindWithSpnEx()-Fehler -2146893022, Der Zielprinzipalname ist falsch.. Achtung: S1 ist Schema Owner, reagiert jedoch nicht auf die DS-RPC-Bindung. [S1] LDAP-Bindungsfehler 8341, Ein Verzeichnisdienstfehler ist aufgetreten.. Achtung: S1 ist Schema Owner, reagiert jedoch nicht auf die LDAP-Bindung. Achtung: S1 ist Domain Owner, reagiert jedoch nicht auf die DS-RPC-Bindung. Achtung: S1 ist Domain Owner, reagiert jedoch nicht auf die LDAP-Bindung. Achtung: S1 ist PDC Owner, reagiert jedoch nicht auf die DS-RPC-Bindung. Achtung: S1 ist PDC Owner, reagiert jedoch nicht auf die LDAP-Bindung. Achtung: S1 ist Rid Owner, reagiert jedoch nicht auf die DS-RPC-Bindung. Achtung: S1 ist Rid Owner, reagiert jedoch nicht auf die LDAP-Bindung. Achtung: S1 ist Infrastructure Update Owner, reagiert jedoch nicht auf die DS-RPC-Bindung. Achtung: S1 ist Infrastructure Update Owner, reagiert jedoch nicht auf die LDAP-Bindung. ......................... Der Test KnowsOfRoleHolders für S4 ist fehlgeschlagen. Starting test: MachineAccount ......................... S4 hat den Test MachineAccount bestanden. Starting test: NCSecDesc ......................... S4 hat den Test NCSecDesc bestanden. Starting test: NetLogons [S4] Die Anmeldeinformationen berechtigen nicht zum Ausführen dieses Vorgangs. Das für diesen Test verwendete Konto muss für die Domäne dieses Computers über Netwerkanmelderechte verfügen. ......................... Der Test NetLogons für S4 ist fehlgeschlagen. Starting test: ObjectsReplicated ......................... S4 hat den Test ObjectsReplicated bestanden. Starting test: Replications [Replications Check,S4] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten: Von S1 nach S4 Namenskontext: DC=ForestDnsZones,DC=domain,DC=local Beim Replizieren ist ein Fehler aufgetreten (1256): Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe. Auftreten des Fehlers: 2016-01-12 07:58:22. Letzter erfolgreicher Vorgang: 2016-01-05 18:47:20. Seit dem letzten erfolgreichen Vorgang sind 160 Fehler aufgetreten. [Replications Check,S4] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten: Von S1 nach S4 Namenskontext: DC=DomainDnsZones,DC=domain,DC=local Beim Replizieren ist ein Fehler aufgetreten (1256): Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe. Auftreten des Fehlers: 2016-01-12 07:58:22. Letzter erfolgreicher Vorgang: 2016-01-05 19:25:38. Seit dem letzten erfolgreichen Vorgang sind 292 Fehler aufgetreten. [Replications Check,S4] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten: Von S1 nach S4 Namenskontext: CN=Schema,CN=Configuration,DC=domain,DC=local Beim Replizieren ist ein Fehler aufgetreten (-2146893022): Der Zielprinzipalname ist falsch. Auftreten des Fehlers: 2016-01-12 07:58:22. Letzter erfolgreicher Vorgang: 2016-01-05 18:47:20. Seit dem letzten erfolgreichen Vorgang sind 160 Fehler aufgetreten. [Replications Check,S4] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten: Von S1 nach S4 Namenskontext: CN=Configuration,DC=domain,DC=local Beim Replizieren ist ein Fehler aufgetreten (-2146893022): Der Zielprinzipalname ist falsch. Auftreten des Fehlers: 2016-01-12 07:58:22. Letzter erfolgreicher Vorgang: 2016-01-05 19:30:39. Seit dem letzten erfolgreichen Vorgang sind 186 Fehler aufgetreten. [Replications Check,S4] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten: Von S1 nach S4 Namenskontext: DC=domain,DC=local Beim Replizieren ist ein Fehler aufgetreten (-2146893022): Der Zielprinzipalname ist falsch. Auftreten des Fehlers: 2016-01-12 07:58:22. Letzter erfolgreicher Vorgang: 2016-01-05 19:38:47. Seit dem letzten erfolgreichen Vorgang sind 165 Fehler aufgetreten. ......................... Der Test Replications für S4 ist fehlgeschlagen. Starting test: RidManager ......................... Der Test RidManager für S4 ist fehlgeschlagen. Starting test: Services Der Dienst NTDS auf S4 konnte nicht geöffnet werden. Fehler: 0x5 "Zugriff verweigert" ......................... Der Test Services für S4 ist fehlgeschlagen. Starting test: SystemLog Fehler. Ereignis-ID: 0x40000004 Erstellungszeitpunkt: 01/12/2016 07:58:22 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war E3514235-4B06-11D1-AB04-00C04FC2DCD2/50b8c222-2685-480a-8403-81fc916e392c/domain.local@domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Fehler. Ereignis-ID: 0x40000004 Erstellungszeitpunkt: 01/12/2016 08:00:59 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war domain\S1$. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Fehler. Ereignis-ID: 0x40000004 Erstellungszeitpunkt: 01/12/2016 08:04:52 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war ldap/S1.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Fehler. Ereignis-ID: 0x40000004 Erstellungszeitpunkt: 01/12/2016 08:13:35 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war DNS/s1.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Fehler. Ereignis-ID: 0x40000004 Erstellungszeitpunkt: 01/12/2016 08:29:52 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war LDAP/50b8c222-2685-480a-8403-81fc916e392c._msdcs.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. Fehler. Ereignis-ID: 0x40000004 Erstellungszeitpunkt: 01/12/2016 08:29:52 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "s1$" empfangen. Der verwendete Zielname war ldap/s1.domain.local. Dies deutet darauf hin, dass der Zielserver das vom Client bereitgestellte Token nicht entschlüsseln konnte. Dies kann auftreten, wenn der Ziel-Serverprinzipalname (SPN) nicht bei dem Konto registriert ist, das der Zieldienst verwendet. Stellen Sie sicher, dass der Ziel-SPN nur bei dem Konto registriert ist, das vom Server verwendet wird. Dieser Fehler kann auch auftreten, wenn das Kennwort für das Zieldienstkonto nicht mit dem Kennwort übereinstimmt, das im Kerberos-KDC (Key Distribution Center) für den Zieldienst konfiguriert ist. Stellen Sie sicher, dass der Dienst auf dem Server und im KDC beide für die Verwendung des gleichen Kennworts konfiguriert sind. Wenn der Servername nicht vollqualifiziert ist und sich die Zieldomäne (domain.LOCAL) von der Clientdomäne (domain.LOCAL) unterscheidet, prüfen Sie, ob sich in diesen beiden Domänen Serverkonten mit gleichem Namen befinden, oder verwenden Sie den vollqualifizierten Namen, um den Server zu identifizieren. ......................... Der Test SystemLog für S4 ist fehlgeschlagen. Starting test: VerifyReferences ......................... S4 hat den Test VerifyReferences bestanden. Partitionstests werden ausgeführt auf: ForestDnsZones Starting test: CheckSDRefDom ......................... ForestDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... ForestDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: DomainDnsZones Starting test: CheckSDRefDom ......................... DomainDnsZones hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... DomainDnsZones hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: Schema Starting test: CheckSDRefDom ......................... Schema hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Schema hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: Configuration Starting test: CheckSDRefDom ......................... Configuration hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... Configuration hat den Test CrossRefValidation bestanden. Partitionstests werden ausgeführt auf: domain Starting test: CheckSDRefDom ......................... domain hat den Test CheckSDRefDom bestanden. Starting test: CrossRefValidation ......................... domain hat den Test CrossRefValidation bestanden. Unternehmenstests werden ausgeführt auf: domain.local Starting test: LocatorCheck Achtung: Fehler beim Aufrufen von DcGetDcName(PDC_REQUIRED): 1355 Es wurde kein primärer Domänencontroller gefunden. Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar. ......................... Der Test LocatorCheck für domain.local ist fehlgeschlagen. Starting test: Intersite ......................... domain.local hat den Test Intersite bestanden.
/showreps zweiter DC:
Standardname-des-ersten-Standorts\S4 DSA-Optionen: IS_GC Standortoptionen: (none) DSA-Objekt-GUID: db6a9bad-7ea9-4824-b8aa-291dc9b21c6c DSA-Aufrufkennung: 75c5a678-ffc3-480d-9e77-73a581967bbf ==== EINGEHENDE NACHBARN===================================== DC=domain,DC=local Standardname-des-ersten-Standorts\S1 über RPC DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322): Der Zielprinzipalname ist falsch. 165 aufeinander folgende Fehler. Letzte Erfolg um 2016-01-05 19:38:47. CN=Configuration,DC=domain,DC=local Standardname-des-ersten-Standorts\S1 über RPC DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322): Der Zielprinzipalname ist falsch. 186 aufeinander folgende Fehler. Letzte Erfolg um 2016-01-05 19:30:39. CN=Schema,CN=Configuration,DC=domain,DC=local Standardname-des-ersten-Standorts\S1 über RPC DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis -2146893022 (0x80090322): Der Zielprinzipalname ist falsch. 160 aufeinander folgende Fehler. Letzte Erfolg um 2016-01-05 18:47:20. DC=DomainDnsZones,DC=domain,DC=local Standardname-des-ersten-Standorts\S1 über RPC DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis 1256 (0x4e8): Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe. 292 aufeinander folgende Fehler. Letzte Erfolg um 2016-01-05 19:25:38. DC=ForestDnsZones,DC=domain,DC=local Standardname-des-ersten-Standorts\S1 über RPC DSA-Objekt-GUID: 50b8c222-2685-480a-8403-81fc916e392c Letzter Versuch am 2016-01-12 07:58:22 ist fehlgeschlagen, Ergebnis 1256 (0x4e8): Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe. 160 aufeinander folgende Fehler. Letzte Erfolg um 2016-01-05 18:47:20. DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105): Der Replikationszugriff wurde verweigert. DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105): Der Replikationszugriff wurde verweigert.
Antworten
-
Hallo
Was für eine Version haben Deine Domain Controller?
Grundsätzlich wird ja das "Cloning" sowie "Snapshots" mit Hyper-V / VMWare ab V.x ab OS 2012 mit der Einführung der msDS-GenerationId unterstützt. Mit dem Klonen von DC's habe ich gute Erfahrungen gemacht, auf SnapShots habe ich bisher aber verzichtet.
Ohne Deine Logs im Detail zu analysieren rate ich Dir, falls der laufende DC's verwendet werden kann resp. die "Inhalte" verwendet werden können, den nicht mehr funktionierenden / veralteten DC zu removen. Ob dies mit einem normalen remove klappt kann ich aus der Ferne nicht genau beurteilen. Ich würde den DC manuell removen und danach ein Force "metadata cleanup" durchführen, Anleitungen wie das genau gemacht wird findest Du im Netz.
Ich bevorzuge die Variante mittels ntdsutil, hier eine Variante: http://kpytko.pl/active-directory-domain-services/metadata-cleanup-for-broken-domain-controller/
GUI Variante (habe ich keine Erfahrungen): https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
Danach den veralteten DC wieder neu promoten und replizieren.
Interessant wäre noch welche Software du verwendet hast um den Restore zu fahren. So wie ich Dich verstehe hast Du mehr oder weniger den SystemState mittels Backup Tool restored und nicht im AD Restore Mode?
Generell würde ich mir überlegen ob ein Restore nötig ist (falls noch min. 1 DC ok ist). Ebenfalls ist zu beachten welche FSMO Rollen der zu restorende DC hat/hatte. Diese auf den laufenden DC verschieben (move/size). Ich pers. restore nie ein DC (ausser bei einem Disaster, Schema nicht ok, etc.) Ich demote jeweils den "defekten" DC, wenn möglich über GUI (demote) oder mittels metadata cleanup.Ich empfehle Dir (falls möglich) eine Testdomain aufzubauen und Restores sowie DR-Restores (also kompletter Ausfall) durchzuspielen.
Gruss und viel Erfolg, Dani
- Als Antwort markiert mmnov Montag, 18. Januar 2016 17:28
Alle Antworten
-
Hallo
Was für eine Version haben Deine Domain Controller?
Grundsätzlich wird ja das "Cloning" sowie "Snapshots" mit Hyper-V / VMWare ab V.x ab OS 2012 mit der Einführung der msDS-GenerationId unterstützt. Mit dem Klonen von DC's habe ich gute Erfahrungen gemacht, auf SnapShots habe ich bisher aber verzichtet.
Ohne Deine Logs im Detail zu analysieren rate ich Dir, falls der laufende DC's verwendet werden kann resp. die "Inhalte" verwendet werden können, den nicht mehr funktionierenden / veralteten DC zu removen. Ob dies mit einem normalen remove klappt kann ich aus der Ferne nicht genau beurteilen. Ich würde den DC manuell removen und danach ein Force "metadata cleanup" durchführen, Anleitungen wie das genau gemacht wird findest Du im Netz.
Ich bevorzuge die Variante mittels ntdsutil, hier eine Variante: http://kpytko.pl/active-directory-domain-services/metadata-cleanup-for-broken-domain-controller/
GUI Variante (habe ich keine Erfahrungen): https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
Danach den veralteten DC wieder neu promoten und replizieren.
Interessant wäre noch welche Software du verwendet hast um den Restore zu fahren. So wie ich Dich verstehe hast Du mehr oder weniger den SystemState mittels Backup Tool restored und nicht im AD Restore Mode?
Generell würde ich mir überlegen ob ein Restore nötig ist (falls noch min. 1 DC ok ist). Ebenfalls ist zu beachten welche FSMO Rollen der zu restorende DC hat/hatte. Diese auf den laufenden DC verschieben (move/size). Ich pers. restore nie ein DC (ausser bei einem Disaster, Schema nicht ok, etc.) Ich demote jeweils den "defekten" DC, wenn möglich über GUI (demote) oder mittels metadata cleanup.Ich empfehle Dir (falls möglich) eine Testdomain aufzubauen und Restores sowie DR-Restores (also kompletter Ausfall) durchzuspielen.
Gruss und viel Erfolg, Dani
- Als Antwort markiert mmnov Montag, 18. Januar 2016 17:28
-
Hallo Dani,
sorry für die späte Antwort. Nochmal danke für den Hinweiß, so war im Endeffekt auch die Lösung.
Durch das ungewollte Rücksetzten um 5 Tage gab es natürlich Ungereimtheiten in den USNs, dadurch hat der zweite DC die Replikation vom ersten abgelehnt und der erste konnte nicht mehr als Anmeldeserver funktionieren. Ich habe also auf dem ersten DC gesichert was zu Sichern war, DHCP, Zertifizierungsstelle und DNS und habe Ihn dannach zwangsdemoted. Zuvor habe ich noch alle Netzwerkkarten entfernt.
Dannach habe ich einen metadata cleanup gemacht und per ADSI die restlichen Einträge aus der AD entfernt. Per ntdsutil dann nacheinander die Rollen übertragen und den ersten DC wieder in die Domain aufgenommen und promoted. Nur noch die Zertifizierungsstelle wiederhergestellt, der Rest lief von selbst wieder wie geschmiert.
War nach 2 Stunden wieder alles i.O., nochmal danke für die Hilfe und eine schöne Restwoche.
Viele Grüße, Max
