none
Domäne mit Server 2003, Probleme mit Replikation und Zugriffen nach falscher Uhrzeit RRS feed

  • Allgemeine Diskussion

  • Guten Tag

    In einer Kundenumgebung (produktiv) treten die genannten Probleme auf. Die Umgebung beinhaltet insgesamt drei Server (2 davon Domänencontroller) und zwei Standorte. Am Hauptstandort steht ebenfalls ein Terminalserver.

    PRMSRV01: Domänencontroller am Nebenstandort, Windows 2003 SP2 x86
    PRMSRV02: Domänencontroller am Hauptstandort, Windows 2003 R2 SP2 x86, Exchange 2003
    PRMSRV03: Terminalserver am Hauptstandort, Windows 2008 SP2 x64

    Rollenverteilung (netdom query fsmo):

    • Schema owner                PRMSRV02
    • Domain role owner           PRMSRV01
    • PDC role                    PRMSRV02
    • RID pool manager            PRMSRV02
    • Infrastructure owner        PRMSRV02

    Auf dem Domänencontroller PRMSRV02 wurde die Uhrzeit um einen Monat in die Vergangenheit gestellt, dies wurde nach ca. 1 Stunde wieder korrigiert. Seither treten die folgenden Symptome auf:

    • Clients am Nebenstandort (und auch der Server dort) erhalten beim Zugriff auf \\PRMSRV02 eine Fehlermeldung: Anmeldung Fehlgeschlagen: Der Zielkontoname ist ungültig. Der Zugriff via \\IP-von-PRMSRV02 hingegen funktioniert (der Kunde arbeitet aktuell auf diesem Weg). Der Zugriff vom Hauptstandort (auch vom Server dort) auf \\PRMSRV01 klappt hingegen problemlos.
    • PRMSRV01 hat in den Eventlogs unter Verzeichnisdienst wiederholt Warnungen mit ID 1865 (Alle Domänencontroller am folgenden Standort, die die Verzeichnispartition über diesen Transport replizieren können, sind zurzeit nicht verfügbar...), 1566 (Die Konsistenzüberprüfung (KCC) konnte keine vollständige umfassende Struktur erstellen. Die folgende Liste einiger Standorte ... Hauptstandort) sowie Fehler mit der ID 1311 (Die Konsistenzprüfung hat Probleme mit der folgenden Verzeichnispartition ermittelt...). Alle diese Meldungen haben die Quelle NTDS KCC.
    • PRMSRV02 hat in den Eventlogs unter Verzeichnisdienst wiederholt Warnungen mit ID 2092 (Dieser Server ist der Besitzer der folgenden FSMO-Rolle, jedoch wird diese nicht als gültig angesehen. Für die Partition, die das FSMO enthält, wurde dieser Server nicht erfolgreich mit irgendeinem der Partner seit dem letzten Neustart des Servers repliziert. Replikationsfehler verhindern die Bestätigung dieser Rolle...) von NTDS Replication.
    • PRMSRV01 hat viele Fehler mit ID 4 und Quelle Kerberos im System-Eventlog. "Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server "host/prmsrv02.domain.local" empfangen. Der verwendete Zielname war DNS/prmsrv02.domain.local." Dabei variiert der Zielname, teilweise cifs/, manchmal LDAP/<UUID>, manchmal leer.

    Nach einiger Recherche wurde (neben Neustarts der Server) versucht, das Computerkennwort von PRMSRV01 zurückzusetzen. Dabei wurde gemäss http://support.microsoft.com/kb/288167 resp. http://support.microsoft.com/kb/325850 vorgegangen. Der Vorgang gelang gemäss Ausgabe von Netdom, das Problem besteht allerdings weiterhin.

    Mittels ADSIEdit wurde festgestellt, dass das Attribut pwdLastSet des Computerkontos von PRMSRV02 unter CN=PRMSRV02,OU=Domain Controllers,DC=domain,DC=local sich unterscheidet, je nachdem, ob man mit ADSIEdit auf PRMSRV01 oder PRMSRV02 verbindet.

    Aufgrund der letzten Erkenntnisse habe ich mir gedacht, dass das Zurücksetzen des Computerkontos von PRMSRV02 eventuell hilft. Da in KB288167 aber steht, dass es sich bei dem mit /s: angegebenen Server um den PDC Emulator handeln muss, und PRMSRV02 selbst die PDC-Emulator-Rolle innehat, wollte ich mich zunächst noch weiter informieren.
    Falls dies helfen sollte, muss ich mit /s: dann PRMSRV01 angeben?

    Ich hoffe da ist noch was zu retten...


    Freitag, 17. Februar 2012 13:56

Alle Antworten

  • hatte das Problem sonst noch niemand? sieht aus als müsste ich dann wohl einen Microsoft Support Call aufmachen :(
    Mittwoch, 22. Februar 2012 09:09
  • Hi was sagt den "dcdiag"?

    Was steht in der Ereignisanzeige vom Dateireplikationsdienst?

    Gruß

    Mittwoch, 22. Februar 2012 09:37
  • Hallo

    Ich habe die Angaben hier hochgeladen:

    http://kladde.org/~schwarz/misc/ad_265/dcdiag_prmsrv01.txt
    http://kladde.org/~schwarz/misc/ad_265/dcdiag_prmsrv02.txt
    http://kladde.org/~schwarz/misc/ad_265/eventlog_dateireplikation.txt

    Mittwoch, 22. Februar 2012 13:56
  • Hallo Pascal,

    schau mal hier ob dir das hilft. 

    http://support.microsoft.com/kb/315457/de

    Mir hat sie geholfen.

    Mit dieser Anleitung kannst du die Replikation hart erzingen.

    Wichtig ist noch. Laufen die Dienste auf beiden Server? "Dateireplikationsdienst" Wenn ja mach beide mal auf Beenden, warte bis beide Beendet sind und dann starte den Dienst wieder neu.

    Was ist mit dem FSMO Rollen hast du sie verteilt oder ist nur der PRMSRV02 der OWNER. Schau mal auf allen Servern nach was "netdom query fsmo" sagt wer der OWNER ist.

    Gruß

    Donnerstag, 23. Februar 2012 10:32
  • (ich weiss, sehr späte Info, aber besser als nie ;))

    Das Problem konnte in Zusammenarbeit mit dem Support gelöst werden - man kann also das Kerberos-Kennwort auch gegen einen nicht-PDC-Emulator zurücksetzen. Das hat bei meinem Kunden die Replikation dann wieder in Gang gebracht.

    Der Supporter meinte, es könne nötig sein, den Kerberos-Verteilungsdienst dabei auf allen anderen Domänencontrollern ausser dem Server, gegen den man das Kennwort resetten will, zu deaktivieren. In unserer Umgebung war das nicht nötig (wir haben da ja 'nur' 2 DCs).


    Edit: Kann ich diese Frage hier selbst als beantwortet markieren? Wenn ja: wie?
    Freitag, 20. April 2012 11:13
  • Am 20.04.2012 schrieb Pascal Schwarz:

    (ich weiss, sehr späte Info, aber besser als nie ;))

    Genau, Danke für die Rückmeldung. ;)

    Edit: Kann ich diese Frage hier selbst als beantwortet markieren? Wenn ja: wie?

    Klick auf Als Antwort vorschlagen. Den Rest übernimmt ein Moderator,
    falls nötig.

    Servus
    Winfried


    Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
    GPO's: http://www.gruppenrichtlinien.de
    Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

    Freitag, 20. April 2012 15:27