none
DNS startet nicht mehr auf DC. Eventid 4000 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    ich habe da ein sehr seltsames Phänomen. Ich habe in den letzten 7 Tagen 2 Domänencontroller verloren.

    Einen Virtuellen und einen Physikalischen. Folgende Konstellation:

    Vor dem Crash:

    2 DCs, 1 x Physikalisch und eine VM.

    Physikalischer Host war ein 2008R2 Std. Die VM 2008R2 Datacenter. Beide haben: AD, DNS, WINS, DFRS installiert. Sonst machen die nix.

    Jetzt kam die Domäne letzten Freitag aus dem Tritt und der VM-DC startete aber konnte den DNS-Server nicht mehr starten. Im Ereignisprotokoll war:

    Eventid: 4000

    Quelle DNS-Server-Service.

    Text: Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist dür das Abrzufen und Verwenden von Informationen aus dem Verzeichnis für diese Zone konfiguriert und kann die Uone ohne Informationen nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.

    Daten: 2d230000

    Googlen hat nur einen Artikel zu dem 4000er gebracht, da stand booten Sie den Rechner neu. Leider kein Erfolg.

    Dann habe ich gedacht das das AD hin ist auf dem Controller da der Secondary noch lief kurzerhand den VM-DC abgeschaltet den Secondary alle FSMO's gegeben. So zumindest liefen wir noch. Dann machte der Secondary auf einmal einen Bluescreen und bootete neu. Kam aber mit allen Diensten samt DNS wieder hoch. Via Template zwei neue VM-DC wieder installiert und repliziert. Nachdem alle Daten auf die anderen DC's repliziert waren. Sa es wieder gut aus.Aus irgendeinem Bauchgefühl heraus hab ich die Rollen währenddessen auf einen der VM-DC's geschoben.

    Am Montag dann der nächste Schock der Physikalische Server machte mitten am Tag wieder einen Bluescreen. Beim durchsehen des DUMPS hab ich gesehen das möglicherweise die Netio.sys dafür verantwortlich ist. Also die neuesten Treiber von HP für die NIC'S installiert. Dann booten des Servers und Schade aber aber der DNS Server läuft nicht mehr. Was für ein Jammer.

    Also das Spiel von Vorn. DC raus aus der Domäne und fix neu installiert Physikalisch. Nun funktioniert der Physikalische wieder und ist in der Domäne. Dabei hat er zwar die Profile beim replizieren gekillt, aber ist alles wieder da. Reicht für diese Woche.

    Da ich den ersten PDC (VM-DC) noch habe, ich versucht nachzuvollziehen wieso der DC den DNS nicht mehr starten kann. Ich habe nun schon einiges versucht aber ich komme nicht drauf. Auch im wiederherstellungsmodus hab ich das AD geprüft. Keine Fehler. AD Startet und alle Dienste sind da aber der DNS Server kann nicht auf AD zugreifen. Was mich verwundert ist das wenn der Rechner startet ich mich an der Kiste anmelden kann also scheint er weiterhin zu authentifizieren.

    Hat jemand eine Idee was wir noch testen oder machen können? Gibt es vielleicht eine Möglichkeit festzustellen wie der DNS-Server versucht Daten aus dem AD zu holen?

    ---------------------------------------------------------
    Gruß Thomas Voß

    Donnerstag, 28. Juni 2012 12:22
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hallo zusammen,

    in diesem Zusammenhang noch folgender Nachtrag. Nachdem ich ein DCDIAG (RechnerID in die hosts eingetragen, damit die Auflösung funktioniert) zum connecten gebracht habe bin ich auf folgende Fehler gestoßen.

    Der DC war plötzlich nur noch eine Workstation und kein Controller mehr außerdem war er nur noch Mitglied in den Gruppen DNSUPDATEPROXY und Domaincomputer.

    Habe dann den Rechner un Domaincontroller gesteckt und die anderen rausgeworfen.

    Außerdem war die Delegierung die eine DC aht ebenfalls weg. Wieder reingenommen.

    Danach DCDIAG (natürlich viele Eventlog ERROR) aber hinzu kam der Fehler:

    userAccountControl-Attribut von DC war:
    0x11000 = ( Workstation_Trust_Account| DONT_EXPIRE_PASSWD)
    soll sein
    0x82000 = ( Server_trust_account | trusted_for_delegation)

    Habe das dann mit ADSIEDIT auf 0x82000 gesetzt. DNS geht aber nach wie vor nicht.

    Nun habe ich aber, wenn ich die Konsole für DNS starte eine Meldung "Zugriff verweigert", aber nach wie vor 4000er Everntid mit AD.

    Was für Rechte muss der DNS haben um wieder gerade gebogen zu werden.

    OK.

    Nachdem ich viele Artikel gelesen habe und mich noch einmal durch das Eventlog gewühlt habe ist es nun Vollbracht. Ich habe die Lösung gefunden.

    Nachdem ich obiges mit dem ComputerAccount gemacht habe nun noch eine Kleinigkeit.

    Das Passwort der Maschine war weg oder falsch, wahrscheinlich nicht repliziert oder sowas.

    Ich habe dann laut: http://support.microsoft.com/kb/325850

    netdom resetpwd /s:<var>Server</var> /ud:<var>Domäne</var>\<var>Benutzer </var> /pd:*

    Server war mein DC und Benutzer halt ein DOMAIN-ADMIN

    Habe aber Schritt 2 im Artikel ausgelassen, da ich nur einen DC hatte.

    Nach einem Reboot wurden die LoginScripte gestartet die Richtlinien.

    Die Kiste läuft nun wieder.

    Ich kann mir nur vorstellen das der DC sein Passwort bei dem DC2 geändert hat und die Replication Fehlschlug (warum auch immer).

    ---------------------------------------------------------
    Gruß Thomas Voß

    • Als Antwort markiert Thomas Voß Freitag, 29. Juni 2012 10:22
    Freitag, 29. Juni 2012 10:22
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    für die Event ID 4000 starte mal mit http://social.technet.microsoft.com/wiki/contents/articles/2063.dns-stops-working-on-windows-server-2008-dns-event-id-4000-4015-and-userenv-event-id-1053-1054-dsforum2wiki.aspx

    Ich bin jetzt etwas durcheinander. Die Produktivdomäne läuft jetzt wieder oder nicht?

    Und wo testet Ihr nun, mit der alten DC-VM in einem hoffentlich vom laufenden Netz GETRENNTEN Umgebung? Denn die FSMO Rollen sind ja sonst doppelt vorhanden.

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Donnerstag, 28. Juni 2012 12:44
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    Hallo,

    für die Event ID 4000 starte mal mit http://social.technet.microsoft.com/wiki/contents/articles/2063.dns-stops-working-on-windows-server-2008-dns-event-id-4000-4015-and-userenv-event-id-1053-1054-dsforum2wiki.aspx

    den thread hab ich auch schon gefunden. Leider hat es nicht geholfen. Hatte auf den Trendmicro getippt. Oder den NIC Driver. Aber leider auch hier kein Erfolg. Ein DCDIAG ohne DNS mach nicht viel Sinn. Ich werd mal versuchen in dieses Netz einen DNS Server reinzubauen den ich vorher mit den Daten fütter die der kaputte DC so meint haben zu müssen.

    Ich bin jetzt etwas durcheinander. Die Produktivdomäne läuft jetzt wieder oder nicht?

    Und wo testet Ihr nun, mit der alten DC-VM in einem hoffentlich vom laufenden Netz GETRENNTEN Umgebung? Denn die FSMO Rollen sind ja sonst doppelt vorhanden.

    Die Domain läuft wieder. Nun habe ich hier 1 x Physikalisch und 2 VM als DC. Alle DCs machen nun zu unterschiedlichen Zeiten Systemstatessicherungen und zusätzlich die normale Sicherung. Außerdem habe ich noch einen DNS-Server nicht AD gebunden installiert, der sich die Zonen von den DC's holt. Damit sollte ich zumindest die Domain recht schnell wieder hinbiegen können wenn das weitere Kreise zieht. Hierzu noch jamand eine Idee?

    Der "kaputte" DC ist getrennt vom Netz. Läuft als VM in einem Netz das keine physikalische Netzwerkkarte hat.

    Ist schon klar das mit den FSMO. Die VM meint das es zwar die FSMO hat aber es nicht entgültig verifizieren kann. Eventid 2092,2088,1308,1173 als Warning von Quelle: ActiveDirectory_Service

    ---------------------------------------------------------
    Gruß Thomas Voß

    Donnerstag, 28. Juni 2012 13:27
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo zusammen,

    in diesem Zusammenhang noch folgender Nachtrag. Nachdem ich ein DCDIAG (RechnerID in die hosts eingetragen, damit die Auflösung funktioniert) zum connecten gebracht habe bin ich auf folgende Fehler gestoßen.

    Der DC war plötzlich nur noch eine Workstation und kein Controller mehr außerdem war er nur noch Mitglied in den Gruppen DNSUPDATEPROXY und Domaincomputer.

    Habe dann den Rechner un Domaincontroller gesteckt und die anderen rausgeworfen.

    Außerdem war die Delegierung die eine DC aht ebenfalls weg. Wieder reingenommen.

    Danach DCDIAG (natürlich viele Eventlog ERROR) aber hinzu kam der Fehler:

    userAccountControl-Attribut von DC war:
    0x11000 = ( Workstation_Trust_Account| DONT_EXPIRE_PASSWD)
    soll sein
    0x82000 = ( Server_trust_account | trusted_for_delegation)

    Habe das dann mit ADSIEDIT auf 0x82000 gesetzt. DNS geht aber nach wie vor nicht.

    Nun habe ich aber, wenn ich die Konsole für DNS starte eine Meldung "Zugriff verweigert", aber nach wie vor 4000er Everntid mit AD.

    Was für Rechte muss der DNS haben um wieder gerade gebogen zu werden.

    OK.

    Nachdem ich viele Artikel gelesen habe und mich noch einmal durch das Eventlog gewühlt habe ist es nun Vollbracht. Ich habe die Lösung gefunden.

    Nachdem ich obiges mit dem ComputerAccount gemacht habe nun noch eine Kleinigkeit.

    Das Passwort der Maschine war weg oder falsch, wahrscheinlich nicht repliziert oder sowas.

    Ich habe dann laut: http://support.microsoft.com/kb/325850

    netdom resetpwd /s:<var>Server</var> /ud:<var>Domäne</var>\<var>Benutzer </var> /pd:*

    Server war mein DC und Benutzer halt ein DOMAIN-ADMIN

    Habe aber Schritt 2 im Artikel ausgelassen, da ich nur einen DC hatte.

    Nach einem Reboot wurden die LoginScripte gestartet die Richtlinien.

    Die Kiste läuft nun wieder.

    Ich kann mir nur vorstellen das der DC sein Passwort bei dem DC2 geändert hat und die Replication Fehlschlug (warum auch immer).

    ---------------------------------------------------------
    Gruß Thomas Voß

    • Als Antwort markiert Thomas Voß Freitag, 29. Juni 2012 10:22
    Freitag, 29. Juni 2012 10:22
    |