none
und nochmal: Der RPC-Server ist nicht verfügbar. RRS feed

  • Frage

  • Hallo zusammen,

    ja! - es gibt schon mehrere Einträge zu dem Thema, jedoch halfen die mir nicht weiter und so hoffe ich, dass ihr mir bei diesem Problem helfen könnt.

    Habe einen DC (w2k8r2) (Domänenname: xxx.yyy.local als Subdomäne der Gesamtstruktur yyy.local) in der Hauptniederlassung und einen Server (w2k8r2) in einer anderen Liegenschaft, welche über WAN angebunden ist. Dieser Server wurde Mitgliedsserver der Domäne xxx.yyy.local.
    Über unser Gateway (Firewall) sind die Ports

    389: LDAP
    445: CIFS
    135: Netbios
    88: Kerberos

    u. a. freigeschalten.
    Ohne diese Freischaltung der Ports wäre eine Mitgliedschaft des Servers in die Domäne xxx.yyy.local nicht möglich gewesen.
    Lokale Firewalls sind im Domänennetz deaktiviert.

    Nun wurden die GPO's eingerichtet aber beim Testen (rsop.msc vom Memberserver) bekomme ich nachfolgenden Fehler mit der Folge, dass die GPO's (Computer/Benutzer) nicht übernommen werden.

    Gruppenrichtlinieninfrastruktur ist aufgrund des unten aufgeführten Fehlers fehlgeschlagen.
    Der RPC-Server ist nicht verfügbar.

    Gleiches Ergebnis bekomme ich, wenn ich den Gruppenrichtlinienergebnisassistent auf dem DC starte und die übernommenen oder abgelehnten GPO's für den Mitgliedsserver abfrage.

    Auf beiden Servern, auf dem DC und dem Mitgliedsserver sind die Dienste RPC-Endpunktzuordnung und RPC-Locator wie folgt eingerichtet:

    RPC-Endpunktzuordnung = automatisch und gestartet, angemeldet als Lokales System
    RPC-Locator = manuell und nicht gestartet, angemeldet als Lokales System

    Ein weiterer DC in der Liegenschaft des Memberservers ist geplant aber noch nicht umgesetzt.

    Ereignisprotokolleinträge lassen sich nicht finden, welche auf das Problem hinweisen... Ping beidseitig funzt.

    Ich hoffe mal auf euch und einen Tipp, woran das liegen könnte.


    MfG Harald
    Mittwoch, 24. November 2010 08:13

Alle Antworten

  • Am 24.11.2010 schrieb H.Haas:

    Hallo zusammen,

    ja! - es gibt schon mehrere Einträge zu dem Thema, jedoch halfen die mir nicht weiter und so hoffe ich, dass ihr mir bei diesem Problem helfen könnt.

    Aha, und welche Einträge waren das? Bringt ja nix, jetzt alle dortigen Tipps
    zu wiederholen, oder?

    Habe einen DC (w2k8r2) (Domänenname: xxx.yyy.local als Subdomäne der Gesamtstruktur yyy.local) in der Hauptniederlassung und einen Server (w2k8r2) in einer anderen Liegenschaft, welche über WAN angebunden ist. Dieser Server wurde Mitgliedsserver der Domäne xxx.yyy.local.
    Über unser Gateway (Firewall) sind die Ports

    389: LDAP
    445: CIFS
    135: Netbios
    88: Kerberos

    u. a. freigeschalten.

    Was ist u.a.? Zumindest der GC Port fehlt. Warum schränkt man die
    Kommunikation zwischen DCs überhaupt ein? Bzw. wäre es nicht sinnvoller zum
    Test einfach mal any/any zwischen den DCs zu erlauben?

    Ohne diese Freischaltung der Ports wäre eine Mitgliedschaft des Servers in die Domäne xxx.yyy.local nicht möglich gewesen.

    Eine Domänenmitgliedschaft erfordert afair auch weniger Ports als eine
    AD/DFS Replikation.

    Lokale Firewalls sind im Domänennetz deaktiviert.

    Warum?

    hinweisen... Ping beidseitig funzt.

    Na dann muß es ja gehen. ;)

    Bye
    Norbert

    Mittwoch, 24. November 2010 08:27
    Moderator
  • Hi Norbert,

    es gibt 4 Treffer, wenn ich eine neue Frage stelle, die den Titel trägt "RPC-Server ist nicht verfügbar"

    Einer verweist auf den KB839880, einer beschreibt die Einstellung der RPC-Dienste, die anderen beiden schienen eher uninteressant für unser Problem zu sein.

    Mit u. A. ist gemeint, dass wir die Firewall nicht nur zur Kommunikation zwischen den beiden Netzen vorhalten, sondern dass so Ports wie 80 oder 8080 zur Kommunitkation mit dem Internet oder Ports wie 7000 (Avira SMC) ebenfalls über die hausinterne Firewall/das Gateway gesteuert werden.

    Die lokale Fiewall ist aus eben genannten gründen nicht aktiv (interne Firewall eines Drittanbieters).

    Nun zum Problem:

    3268 scheint der Port für den GC zu sein. Welche Ports müssten noch offen sein, damit auch die AD/DFS Replikation reibungslos funzt?

    Danke und entschuldige die unzureichenden Info's im letzten Beitrag.


    MfG Harald
    Mittwoch, 24. November 2010 08:54
  • Am 24.11.2010 schrieb H.Haas:

    3268 scheint der Port für den GC zu sein. Welche Ports müssten noch offen sein, damit auch die AD/DFS Replikation reibungslos funzt?

    Portanforderungen für Active Directory und die Active
    Directory-Domänendienste
    http://technet.microsoft.com/de-de/library/dd772723%28WS.10%29.aspx

    Replikation für verteilte Dateisysteme: Häufig gestellte Fragen
    http://technet.microsoft.com/de-de/library/cc773238%28WS.10%29.aspx

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Mittwoch, 24. November 2010 09:05
  • Hi,

    Am 24.11.2010 09:13, schrieb H.Haas:

    Über unser Gateway (Firewall) sind die Ports 389: LDAP 445: CIFS 135:
    Netbos 88: Kerberos u. a. freigeschalten.

    Das sind viel zu wenige.

    Active Directory Replication over Firewalls
    http://technet.microsoft.com/en-us/library/bb727063.aspx

    Die dynamischen Ports kannst du auf 2 einzelne runterbrechen

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Mittwoch, 24. November 2010 18:32
  • Hallo an alle, die hier schon Beiträge abgegeben haben,

     

    Sachstand ist derzeit jener, dass trotz Öffnung aller Ports, welche zuvor schon geöffnet wurden und welche unter http://technet.microsoft.com/en-us/library/bb727063.aspx angegeben sind, bekommen wir den fehler, dass der RPC Server nicht verfügbar ist.

    Auch in die andere Richtung, also wenn ich versuche eine Subdomain in der entfernten Liegenschaft zu erstellen und der AD DS Assistent versucht, die Verzeichnispartition CN=Schema,CN=..... von der übergeordneten Domain in der Hauptniederlassung zu replizieren, bekommen wir den RPC.

    Der Server und neuer DC der Subdomain trägt sich noch als Server in den für ihn erstellten Standort der übergeordneten Domain ein und das war es...

    Bin erst mal ratlos.

    Ein Öffnen aller Ports wäre zwar möglich, jedoch löst das unser Problem nicht, da nicht ersichtlich ist (beim Mitloggen), auf welchen Port er zugreifen will und welcher demnach noch nicht offen ist...

     


    MfG Harald
    Freitag, 26. November 2010 11:55
  • Hallo Harald.

    Sorry wenn ich mich einmische. Haben die Server eventuell zwei Netzwerkarten? Wir hatten schon ein ähnlich gelagerten Fall. Da hing es an der Reihenfolge der Netzwerkarte. Möglichkeit wäre auch noch eine fehlerhafte Subnetmask.

    Gruss Ingo

    Samstag, 27. November 2010 15:25
  • Hi

    Am 26.11.2010 12:55, schrieb H.Haas:

    Sachstand ist derzeit jener, dass trotz Öffnung aller Ports, [...]
    bekommen wir den fehler,

    Wenn du alle Ports anhand meines Artikel gesetzt hast und die beiden
    dynamischen auf jeweils einen Ports runtergesetzt hast und es dann
    immer noch nicht klappt, dann hast du eine Application Firewall, der
    sind Ports egal. Sie betrachtet und bewertet deine Protokolle.
    ... oder ein beliebiges anderes tolles Werkzeug, daß entweder den
    lokalen IP Stack reglementiert und beeinflusst, oder das an zentraler
    Stelle sein Unwesen treibt.

    Simpler Test:
    Schliesse Firewalls, VLans, ACLs, Dosen, Anschlüsse als Fehler aus.
    Bau ein System an einem 8Port Switch daneben,  es wird gehen.
    Jetzt kannst du langsam durch Kabelstecken den Schuldigen
    suchen.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Samstag, 27. November 2010 21:29
  • Hallo Mark,

    es liegt an der sch... Firewall - Astaro!

    Ich kämpfe noch an der Freigabe der Ports und wahrscheinlich liegt es an den beiden dynamischen Ports.

    Lokal, ohne Firewall, gibt es die Probleme erwartungsgemn. nicht, eine Replikation oder Ähnliches ist fehlerfrei möglich.

    Ich melde mich wieder...


    MfG Harald
    Dienstag, 30. November 2010 13:54
  • Hi

    Am 30.11.2010 14:54, schrieb H.Haas:

    Ich kämpfe noch an der Freigabe der Ports und wahrscheinlich liegt es
    an den beiden dynamischen Ports.

    Wieso? Wenn es nur noch 2 sind, sind sie ja nicht mehr dynamisch und
    wenn du beide Ports für alle DCs gleich konfiguriert hast, dann ist das
    ja kein Stress mehr ...

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Dienstag, 30. November 2010 18:09
  • Hallo Ingo,

    kein Problem aber nein, der DC in der einen Liegenscaft ist virtuell und hat nur eine NIC, der Server in der anderen Liegenschaft, welcher als Mitgleidsserver dienen soll, hat zwar zwei NICs aber nur eine ist angeschlossen und hat Verbindung.

    Daran liegt es definitiv nicht.


    MfG Harald
    Dienstag, 7. Dezember 2010 06:48