none
SBS 2008 Premium - Sicherheitsdatenbank hat kein Vertauenskonto RRS feed

  • Frage

  • Moin,

    ich habe folgendes Problem.

    2 x ESX server mit jeweils w2k8-sbs premium auf dem esx1 und w2k8-bdc auf dem esx2.

    In Sept ist esx1, ausgefallen und w2k8-sbs und der w2k8-bdc würde aus alte Vm sicherungen wiederhergestellt.

    Der SBS ist damals sofort im abgesicherte modus hochgefahren und als der bdc auch an war hat sich nach ein paar minuten alles wieder normalisiert.

    Server 3-4 mal neu gestartet, replikation etc alles ok.

    Letztens wollte ich mal den Virenschütz erneuern und Updates installieren auf dem sbs.

    Also snapshot erstellt und reboot.

    Nach ein neustart bekomme ich ein normale login, nach der anmeldung lande ich aber in ein abgesicherte System,

    DNS,Active directory dienste nicht gestartet, eventlog sagt keine domaine verfügbar.

    Dachte hast ja ein Snapshot gemacht, also alles rückgängig, gemacht getan.

    Anschliessen sagt mir dan der SBS er befindet sich im rollback.

    Replikation habe ich dann mit wieder am laufen bekommen, sieht momentan so aus auf dem sbs

    C:\Users\Administrator>repadmin /showrepl

    Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgefüh
    t
    Default-First-Site-Name\W2K8-SBS
    DSA-Optionen: IS_GC
    Standortoptionen: (none)
    DSA-Objekt-GUID: 14292bf4-ea4d-478a-8692-852ed0234e63
    DSA-Aufrufkennung: bd1b245e-b174-41ca-a859-7adf8699ad2b

    ==== EINGEHENDE NACHBARN=====================================

    DC=xxxx,DC=local
        Default-First-Site-Name\W2K8-BDC über RPC
            DSA-Objekt-GUID: bedd1454-bf42-4bc4-83fd-fab3ff33087f
            Letzter Versuch am 2012-03-09 08:15:53 war erfolgreich.

    CN=Configuration,DC=xxxx,DC=local
        Default-First-Site-Name\W2K8-BDC über RPC
            DSA-Objekt-GUID: bedd1454-bf42-4bc4-83fd-fab3ff33087f
            Letzter Versuch am 2012-03-09 07:47:51 war erfolgreich.

    CN=Schema,CN=Configuration,DC=xxxx,DC=local
        Default-First-Site-Name\W2K8-BDC über RPC
            DSA-Objekt-GUID: bedd1454-bf42-4bc4-83fd-fab3ff33087f
            Letzter Versuch am 2012-03-09 07:47:51 war erfolgreich.

    und ein repadmin /showutdvec auf dem sbs sieht so aus

    C:\Users\Administrator>repadmin /showutdvec w2k8-sbs dc=xxxx,dc=local
    GUIDs werden zwischengespeichert.
    ..
    Default-First-Site-Name\W2K8-SBS     auf USN    709247 um 2011-09-15 02:59:17
    Default-First-Site-Name\W2K8-BDC (retired) auf USN    774877 um 2011-09-24 20:30
    :56
    Default-First-Site-Name\W2K8-SBS     auf USN    988652 um 2012-03-09 08:24:08
    Default-First-Site-Name\W2K8-BDC     auf USN   1125747 um 2012-03-09 08:15:53

    Rollen überprüft an der sbs konsole

    C:\Users\Administrator>netdom query fsmo
    Schemamaster               W2K8-SBS.xxxx.local
    Domänennamen-Master        W2K8-SBS.xxxx.local
    PDC                         W2K8-SBS.xxxx.local
    RID-Pool-Manager            W2K8-SBS.xxxx.local
    Infrastrukturmaster       W2K8-SBS.xxxx.local
    Der Befehl wurde ausgeführt.

    jetzt habe ich schon folgendes probiert.

    1:

    dcpromo auf dem w2k8-bdc und anschliessend runtergefahren -> sbs hat alle rollen, auf dem sbs hat sich der bdc auch aus dem AD entfernt.

    reboot - gleiche zenario- DNS,Active directory,KDC etcc. dienste startet nicht, SBS im abgesicherte Modus.

    anmeldedienst ist gestartet, aber die oben genannte dienste nicht, manuell starten geht auch nicht.

    2.

    dcpromo auf bdc, neustart -> mitgliedserver -> dcpromo wieder als AD, neustart, replikation funktioniert und alles sieht gut aus

    reboot sbs - gleiche zenario- DNS,Active directory,KDC etcc. dienste startet nicht, SBS im abgesicherte Modus

    auf dem BDC bekomme ich jetzt eventid 5723, laut evendit.net(letzte eintrag)

    The error is in Data. For example, the error 0xC0000022 means the computer account's password is invalid, while the error 0xC000018B means the computer account has been deleted, and so on.

    ist keine computerkonto im AD vorhanden (error 0xC000018B) oder wie sollte ich das verstehen, die existiert aber im AD

    dachte vielleicht ist der computerkonto abgelaufen.

    3.

    net stop kdc

    klist purge

    und mit netdom das passwort vom sbs 2x neu gesetzt

    reboot - gleiche zenario- DNS,Active directory,KDC etcc. dienste startet nicht, SBS im abgesicherte Modus

    auf dem BDC bekomme ich jetzt eventid 5723/5805

    also snapshots für meine test wieder entfernt , jetztige status vom SBS, kisten läuft und alles funktioniert erstmal wieder.

    dcdiag auch alles bestanden biss auf Systemlog direkt im sbs konsole.

    wie bekommen ich das jetzt wieder hin das der sbs nach ein neustart wieder "normal" funktionieren,

    oder wo ist das problem ohne denn sbs neu aufzusetzen zu müssen*cry*?

    wenn durch stromausfall der sbs neu starten steht der laden und der kaos ist perfekt. :-((

    wäre um hilfe/hinweise sehr dankbar.

    gruß

    Lappies


    Freitag, 9. März 2012 07:35

Antworten

  • moin,

    wie gesagt läuft beide systeme momentan, replizieren sich, dcdiag sauber, also alles normal.

    nur nach ein neustart vom sbs lande ich nach der anmeldung in eine abgesicherte umgebung,

    und alle ad dienste sind nicht gestartet.

    ich habe jetzt mal 2 veeam backups in eine testumgebung wiederhergestell,

    systeme gestartet und hat jetzt das worse case, bdc startet normal mit ad etc..,

    sbs startet auch normal, aber nach der anmeldung lande ich im abgesichrte modus.

    so nach sehr viele stunden/tage suchen, habe ich/wir das "problem" gefunden.

    problem war garnicht AD, die ganze meldungen war nur folgefehler.

    das system war so eingestell das es immer in abgesichrte modus starten soll,

    und somit startet dann auch die ganze AD dienste nicht etc...

    die lösung war dann doch recht einfach und wie folgt

    start-> ausführen-> msconfig und dort reiter start

    hier war als startoption "Abgesicherter Start" angehackt mit "Actice Directory-Reperatur"

    solange man diese hacken nicht wieder entfernen, startet das system immer im abgesicherte modus!

    also haken entfernt, system im testumgebung neu gestartet, sauber hochgefahren.

    ads repliziert sich wieder, dcdiag auch wieder sauber, muss das jetzt nur noch live auch umsetzen.

    diese kleine haken hat mir sehr viele graue hare, und unrühige nächte besorgt!!

    hoffe jemand der mal in der gleiche falle trappt mit der lösung geholfen zu haben.

    frage bleibt aber, wie kommt der haken dort rein, gesetzt habe ich ihn nicht,

    und ein kollege der mir ein auswischen woll glaube ich auch nicht.

    gruß

    lappies


    Donnerstag, 22. März 2012 08:33

Alle Antworten

  • Hallo,

    snapshots von DCs sind ein NICHT unterstütze Art von Sicherung für DCs, es MUSS immer mit AD-konformen Sicherungen gearbeitet werden um nicht in einen USN rollback zu laufen.

    In diesem Fall mit abgesichertem Modus des SBS Systems nach Neustart frage bitte in den schon vorgeschlagenem SBS Forum nach. Da der zusätzliche DC herun tergestuft wurde sollte der SBS eigentlich als einziger DC wieder ans laufen kommen.

    Hast Du nach dem Herunterstufen die AD Datenbank komplett mit ntdsutil geprüft und alle Verweise vom 2. DC aus DNS Zonen und Zoneneigenschaften, AD Standorte und Dienste entfernt?


    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided "AS IS" with no warranties or guarantees , and confers no rights.

    Donnerstag, 15. März 2012 08:03
  • Hallo,

    ich vermute denn fehler stammen noch aus der sept. aktion.

    gesichert wird mit yosemite aufs band, und zusätzlich wird mit veeam backups vom VM gezogen.

    im sept. sind 3 platten ausgefallen innerhalb 1 woche auf dem esx1(sbs), der ibm man könnte das raid nicht wieder reparieren.

    dateisystem vom esx war acuh beschadigt, und veeam backup ist auch 1 woche fehlgeschlagen wie auch der tägl. sicherung.

    wenn schon dann bitte auch alles bite. :-((

    eine sicherung im sept vom systemstate schlägte auch fehl, mir bleibt nur die 2 veeam vm images die ich weiderherstellen könnte.

    die "daten" könnte ich noch vorher auf eine usb-platte retten.

    wie gesagt habe ich einmal denn bdc mit dcpromo runtergestuft,

    er hat sich sauber aus dem ad,dns entfernt, unter ad standort und dienste habe ich ihn manuell gelöscht.

    neustart endet immer im abgesicherte modus.

    dann habe ich den bdc einfach mal runtergefahren, mit ntdsutil denn bdc entfern, dns überall aufgeräumt und standort/dienste auch.

    ergebnis wie oben.

    wie kann ich denn sbs wieder beibringen das er standalone ist.

    dns role habe ich auch schon versucht zu deinstallieren, klappt auch, aber neu installieren wird nicht unterstütz, hinweis -> dcpromo

    wäre hier um weiter hinweise/ideen dankbar!

    gruß

    lappies

    Donnerstag, 15. März 2012 21:43
  • Sorry, aber hier hast Du so ziemlich alles falsch gemacht, was man als Admin falsch machen kann (Snapshots, Images, Deinstallation, vergebliche Reparaturversuche usw.) und nach meiner Meinung überschreitet dies die Möglichkeiten eines Forums.

    Deswegen meine Bitte: Mach einen (kostenpflichtigen) Support Call beim Microsoft Support auf, damit ggf. die Instalaltion genauer untersucht und der Fehler gefunden werden kann

    Alternative ist eine Migration oder Neuinstallation anzustreben.

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Mittwoch, 21. März 2012 18:06
    Moderator
  • moin,

    wie gesagt läuft beide systeme momentan, replizieren sich, dcdiag sauber, also alles normal.

    nur nach ein neustart vom sbs lande ich nach der anmeldung in eine abgesicherte umgebung,

    und alle ad dienste sind nicht gestartet.

    ich habe jetzt mal 2 veeam backups in eine testumgebung wiederhergestell,

    systeme gestartet und hat jetzt das worse case, bdc startet normal mit ad etc..,

    sbs startet auch normal, aber nach der anmeldung lande ich im abgesichrte modus.

    so nach sehr viele stunden/tage suchen, habe ich das "problem" gefunden.

    problem war garnicht AD, die ganze meldungen war nur folgefehler.

    das system war so eingestell das es immer in abgesichrte modus starten soll,

    und somit startet dann auch die ganze AD dienste nicht etc...

    die lösung war dann doch recht einfach und wie folgt

    start-> ausführen-> msconfig und dort reiter start

    hier war als startoption "Abgesicherter Start" angehackt mit "Actice Directory-Reperatur"

    solange man diese hacken nicht wieder entfernen, startet das system immer im abgesicherte modus!

    also haken entfernt, system im testumgebung neu gestartet, sauber hochgefahren.

    ads repliziert sich wieder, dcdiag auch wieder sauber, muss das jetzt nur noch live auch umsetzen.

    diese kleine haken hat mir sehr viele graue hare, und unrühige nächte besorgt!!

    hoffe jemand der mal in der gleiche falle trappt mit der lösung geholfen zu haben.

    frage bleibt aber, wie kommt der haken dort rein, gesetzt habe ich ihn nicht,

    und ein kollege der mir ein auswischen woll glaube ich auch nicht.

    gruß

    lappies

    Donnerstag, 22. März 2012 08:32
  • moin,

    wie gesagt läuft beide systeme momentan, replizieren sich, dcdiag sauber, also alles normal.

    nur nach ein neustart vom sbs lande ich nach der anmeldung in eine abgesicherte umgebung,

    und alle ad dienste sind nicht gestartet.

    ich habe jetzt mal 2 veeam backups in eine testumgebung wiederhergestell,

    systeme gestartet und hat jetzt das worse case, bdc startet normal mit ad etc..,

    sbs startet auch normal, aber nach der anmeldung lande ich im abgesichrte modus.

    so nach sehr viele stunden/tage suchen, habe ich/wir das "problem" gefunden.

    problem war garnicht AD, die ganze meldungen war nur folgefehler.

    das system war so eingestell das es immer in abgesichrte modus starten soll,

    und somit startet dann auch die ganze AD dienste nicht etc...

    die lösung war dann doch recht einfach und wie folgt

    start-> ausführen-> msconfig und dort reiter start

    hier war als startoption "Abgesicherter Start" angehackt mit "Actice Directory-Reperatur"

    solange man diese hacken nicht wieder entfernen, startet das system immer im abgesicherte modus!

    also haken entfernt, system im testumgebung neu gestartet, sauber hochgefahren.

    ads repliziert sich wieder, dcdiag auch wieder sauber, muss das jetzt nur noch live auch umsetzen.

    diese kleine haken hat mir sehr viele graue hare, und unrühige nächte besorgt!!

    hoffe jemand der mal in der gleiche falle trappt mit der lösung geholfen zu haben.

    frage bleibt aber, wie kommt der haken dort rein, gesetzt habe ich ihn nicht,

    und ein kollege der mir ein auswischen woll glaube ich auch nicht.

    gruß

    lappies


    Donnerstag, 22. März 2012 08:33