none
Installation Domänencontroller-Rolle auf Server 2003 R2 massive Fehler RRS feed

  • Frage

  • Hallo,

    folgendes Problem: In einer SBS 2003 R2 Domäne sollte ein bestehender Server 2003 R2 Memberserver zum Domänencontroller gemacht werden. Dazu wurde zuerst das AD-Schema auf dem SBS aktualisiert und dann mittels des Servermanagers die Domänencontroller-Rolle auf dem Memberserver installiert.

    Leider habe ich dabei einen, seit dem 29.10.2011 bestehenden Fehler auf dem SBS übersehen. Der zugehörige Eintrag im Dateireplikations-Log lautet:

    ----------------------------------------------------------------------

    Ereignistyp: Fehler
    Ereignisquelle: NtFrs
    Ereigniskategorie: Keine
    Ereignis-ID: 13568
    Datum:  29.10.2011
    Zeit:  21:09:49
    Benutzer:  Nicht zutreffend
    Computer: MySBS

    Beschreibung:
    Der Dateireplikationsdienst hat ermittelt, dass sich der Replikatsatz "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)" sich in JRNL_WRAP_ERROR befindet.
     
     Name des Replikatsatzes    : "DOMAIN SYSTEM VOLUME (SYSVOL SHARE)"
     Replikatstammpfad           : "c:\windows\sysvol\domain"
     Replikatstammvolume         : "\\.\C:" n%
     Ein Replikatsatz stößt auf JRNL_WRAP_ERROR, wenn der Eintrag, von dem gelesen werden soll, nicht vom NTFS-USN-Journal gefunden wird. Mögliche Ursachen hierfür sind: n%
     
     [1] Volume "\\.\C:" wurde formatiert.
     [2] Das NTFS-USN-Journal auf Volume "\\.\C:" wurde gelöscht.
     [3] Das NTFS-USN-Journal auf Volume "\\.\C:" wurde abgeschnitten. Chkdsk kann das Journal abschneiden, falls es beschädigte Einträge am Ende des Journals vorfindet.
     [4] Der Dateireplikationsdienst wurde seit längerer Zeit auf diesem Computer nicht mehr ausgeführt.
     [5] Die Rate der Laufwerks-E/A-Aktivität auf "\\.\C:" war zu schnell für den Dateireplikationsdienst.
     Das Festlegen des Registrierungsparameters "Enable Journal Wrap Automatic Restore" auf 1 führt dazu, dass folgende Maßnahmen zum automatischen Beheben des Fehlerzustands vorgenommen werden.
     [1] Beim ersten Poll, der in 5 Minuten durchgeführt wird, wird dieser Computer vom Replikatsatz entfernt. Wenn Sie nicht 5 Minuten warten möchten, führen Sie "net stop ntfrs" aus, gefolgt von "net start ntfrs", um den Dateireplikationsdienst neu zu starten.
     [2] Beim auf die Löschung folgenden Poll wird der Computer erneut zum Replikatsatz hinzugefügt. Durch das erneute Hinzufügen wird eine vollständige Struktursynchronisierung für den Replikatsatz ausgelöst.
     
    WARNUNG: Während des Wiederherstellungsvorgangs sind Daten in der Replikatstruktur möglicherweise nicht verfügbar. Sie sollten den oben beschriebenen Registrierungsparameter auf 0 festlegen, um eine unerwartete Nichtverfügbarkeit von Daten durch die automatische Wiederherstellung zu verhindern, wenn dieser Fehlerzustand erneut auftritt.
     
    Führen Sie regedit aus, um diesen Registrierungsparameter zu ändern.
     
    Klicken Sie auf "Start", dann auf "Ausführen", und geben Sie dann "regedit" ein.
     
    Erweitern HKEY_LOCAL_MACHINE.
    Folgen Sie folgendem Pfad:
       "System\CurrentControlSet\Services\NtFrs\Parameters"
    Doppelklicken Sie auf den Namen des Wertes
       "Enable Journal Wrap Automatic Restore"
    und aktualisieren Sie den Wert.
     
    Ist der Name des Wertes nicht vorhanden, können Sie ihn mit dem Befehl "Neu" und dann "DWORD-Wert " im Menü "Bearbeiten" hinzufügen. Geben Sie den Wert genauso ein wie oben gezeigt.

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    ----------------------------------------------------------------------

    Nach der Installation der Domänencontroller-Rolle auf dem Memberserver treten dort reihenweise Fehler auf.

    Im Dateireplikations-Log folgender Fehler:

    ----------------------------------------------------------------------

    Ereignistyp: Warnung
    Ereignisquelle: NtFrs
    Ereigniskategorie: Keine
    Ereignis-ID: 13508
    Datum:  05.12.2011
    Zeit:  03:30:44
    Benutzer:  Nicht zutreffend
    Computer: MyServer
    Beschreibung:
    Der Dateireplikationsdienst konnte die Replikation von MySBS nach MyServer für c:\windows\sysvol\domain mit DNS-Namen MySBS.MyDomain.local nicht aktivieren. Es wird ein neuer Versuch gestartet.
     Mögliche Ursachen für diese Warnung sind:
     
    [1] Der DNS-Name MySBS.MyDomain.local von diesem Computer konnte nicht ausgewertet werden.
    [2] Der Dateireplikationsdienst wird auf MySBS.MyDomain.local  nicht ausgeführt.
    [3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domänencontrollern repliziert.
     
     Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestätigt, dass die Verbindung hergestellt wurde.

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    Daten:
    0000: d5 04 00 00               Õ...   
    ------------------------------------------------------------------------

    Ereignistyp: Warnung
    Ereignisquelle: MSDTC
    Ereigniskategorie: SVC
    Ereignis-ID: 53258
    Datum:  03.12.2011
    Zeit:  01:04:59
    Benutzer:  Nicht zutreffend
    Computer: WORDFLOW100
    Beschreibung:
    MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1360
    No Callstack,
     CmdLine: C:\WINDOWS\system32\msdtc.exe

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    Daten:
    0000: 05 00 07 80               ...€   
    ------------------------------------------------------------------------------

    Ereignistyp: Warnung
    Ereignisquelle: MSDTC
    Ereigniskategorie: SVC
    Ereignis-ID: 53258
    Datum:  03.12.2011
    Zeit:  01:04:59
    Benutzer:  Nicht zutreffend
    Computer: WORDFLOW100
    Beschreibung:
    MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: %1

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    ------------------------------------------------------------------------------------

     

    Die SYSVOL-Freigabe auf dem Memberserver existiert nicht.

    Außerdem laufen nun einige wichtige Anwendungen auf dem Memberserver nicht mehr. Dabei handelt es sich um einen "VMWare Server" und einen "Trados Server" sowie eine SQL-Express Datenbankserver. Die Fehlermeldungen deuten alle auf Berechtigungsprobleme hin. Einige der Fehlermeldungen im System- bzw. Anwendungs-Log:

    ----------------------------------------------------------------

    Ereignistyp: Fehler
    Ereignisquelle: DCOM
    Ereigniskategorie: Keine
    Ereignis-ID: 10004
    Datum:  04.12.2011
    Zeit:  00:02:10
    Benutzer:  Nicht zutreffend
    Computer: WORDFLOW100
    Beschreibung:
    Bei DCOM ist der Fehler "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort. " aufgetreten. MyServer \sdl_service konnte nicht angemeldet werden, um den folgenden Server zu starten:
    {C418BB8C-5097-4C84-B41C-CF5B991A3934}

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    -------------------------------------------------------------------

    Ereignistyp: Fehler
    Ereignisquelle: Service Control Manager
    Ereigniskategorie: Keine
    Ereignis-ID: 7024
    Datum:  03.12.2011
    Zeit:  01:06:11
    Benutzer:  Nicht zutreffend
    Computer: WORDFLOW100
    Beschreibung:
    Der Dienst "SQL Server (SQLEXPRESS)" wurde mit folgendem dienstspezifischem Fehler beendet: 17113 (0x42D9).

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    ----------------------------------------------------------------

    Ereignistyp: Fehler
    Ereignisquelle: Service Control Manager
    Ereigniskategorie: Keine
    Ereignis-ID: 7024
    Datum:  03.12.2011
    Zeit:  01:06:11
    Benutzer:  Nicht zutreffend
    Computer: WORDFLOW100
    Beschreibung:
    Der Dienst "VMware Authorization Service" wurde mit folgendem dienstspezifischem Fehler beendet: 6000002 (0x5B8D82).

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    -----------------------------------------------------------------

    Ereignistyp: Fehler
    Ereignisquelle: MSSQL$SQLEXPRESS
    Ereigniskategorie: (2)
    Ereignis-ID: 17049
    Datum:  03.12.2011
    Zeit:  01:05:01
    Benutzer:  Nicht zutreffend
    Computer: WORDFLOW100
    Beschreibung:
    Unable to cycle error log file from 'C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG.5' to 'C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\LOG\ERRORLOG.6' due to OS error '5(Zugriff verweigert)'. A process outside of SQL Server may be preventing SQL Server from reading the files. As a result, errorlog entries may be lost and it may not be possible to view some SQL Server errorlogs. Make sure no other processes have locked the file with write-only access."

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    -----------------------------------------------------------------------

    Ereignistyp: Fehler
    Ereignisquelle: SceSrv
    Ereigniskategorie: Keine
    Ereignis-ID: 1003
    Datum:  03.12.2011
    Zeit:  05:23:20
    Benutzer:  Nicht zutreffend
    Computer: WORDFLOW100
    Beschreibung:
    Die Benachrichtigung der Richtlinienänderung von LSA/SAM wurde wiederholt und ist fehlgeschlagen. Der Fehler 4312 ist beim Speichern der Richtlinienänderung für das Konto S-1-5-21-2089912784-4290721683-2737390700-3217 im Standardgruppenrichtlinienobjekt aufgetreten. Debuginformationen finden Sie unter dem Windows-Stammverzeichnis in security\logs\scepol.log.

    Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
    -------------------------------------------------------------------------

    Ich hoffe nun das die ganzen Zugriffs/Berechtigungsfehler der Anwendungen nur Folgefehler der SYSVOL-Replikation sind und nach der Reparutur oder dem herunterstufen des Servers zu einem einfachen Memberserver die Anwendungen wieder funktionieren. Den die nicht funktionierenden Anwendungen sind augenblicklich das ganz große Problem.

    Darf ich das hoffen? Wie gehe ich nun am besten vor?

    Vielen Dank für eure Hilfe

     

    Gruß

     

     

     

    Montag, 5. Dezember 2011 10:38

Antworten

  • Hi <realname please>,
     
    > Ich habe nun mal geforscht und dabei ein ähnliches Szenario gefunden:
    > Siehe:
    >
    >
    >
    > Danach muss ich also ein Burflags=D4 auf dem SBS und ein Burflags=D2 auf
    > dem Memberserver starten.
    >
    > Was mich daran stört ist dass mit Burflags ja vion einem anderen DC
    > repliziert wird der eine funktionstüchtige SYSVOL-.Kopie hält. Aber in
    > diesem Fall sind doch auf den beiden einzigen vorhandenen DCs Fehler im
    > SYSVOL. Geht das den dann überhaupt oder sehe ich da was falsch?
     
    Funktioniert die Anmeldung am SBS fehlerfrei? D.h. gibt es Fehler bei der
    Anmeldung bzgl. SYSVOL Verzeichnis respektive Gruppenrichtlinien,
    Anmelde-Scripts usw.?
     
    Wenn nicht, handelt es sich bei einem Single-Domain Conntroller um einen
    nicht schwerwiegenden Fehler und sollte natürlich erst behoben werden
    (s.u.), wenn weitere Domain Controller der Domäne hinzugefügt werden, so
    dass dann zwischen den einzigen DC (authoritative) und den neuen DCs
    (non-authoritative)repliziert werden kann.
     
    Hintergrund:
     
    [..]
    administrators may stop the FRS service for long periods of time. In this
    case, administrators may not realize the potential impact. Also, error
    conditions may cause the FRS service to shut down, and this causes a
    journal wrap error
    [..]
     
    Deswegen: Den fehlerfreien Anmelde Domain Controller (hier SBS) als
    authoritative einstufen (BURFLAGS=D4) und dann weitere Domain Controller
    mit "BURFLAGS=D2" (non-authoritative) dazu zwingen, von dem authoritative
    SYSVOL Ordner des SBS zu replizieren.
     
    S.a.:
     
    [..]
    •If you start the FRS with the Burflags registry entry set to D4, the FRS
    initially treats the files and folders on its local copy of the SYSVOL tree
    as authoritative for the replica set. Only one member of an FRS replica set
    should be initialized with the D4 setting.
     
    •If you start the FRS with the Burflags registry entry set to D2, the FRS
    performs a full synchronization of files and folders from a direct or
    transitive replication partner that is hosting the authoritative copy of
    files and folders in the replica set.
     
    •When you start the FRS with the Burflags registry entry set to D4, the
    configuration is generally referred to as an “authoritative restore” for
    the contents of an FRS replica set, even though no actual restore of the
    system state occurred. Think of the D4 setting as rebuilding the FRS part
    of the first domain controller in a new domain.
     
    •When you start the FRS with the Burflags registry entry set to D2, the
    configuration is generally referred to as a non-authoritative restore, even
    though no restore of the system state occurred. Think of the D2 setting as
    rebuilding the FRS part of the replica domain controller as if the domain
    controller were new.
     
    •After each of the authoritative or non-authoritative restored computers
    has completed initialization, the FRS becomes multi-master aware.
    •If you set Burflags to D4 on a single domain controller and set Burflags
    to D2 on all other domain controllers in that domain, you can rebuild the
    SYSVOL tree in that domain. This bulk rebuild process is known as a hub,
    branch, or bulk FRS restart.
    [..]
     
     
    Weitere Informationen:
     
    Introduction to Administering SYSVOL
     
    Managing SYSVOL
     
    How to force an authoritative and non-authoritative synchronization for
    DFSR-replicated SYSVOL (like "D4/D2" for FRS)
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    • Als Antwort markiert MaFrei Montag, 5. Dezember 2011 15:17
    Montag, 5. Dezember 2011 14:41
    Moderator

Alle Antworten

  • Ich habe nun mal geforscht und dabei ein ähnliches Szenario gefunden: Siehe:

    http://www.wiredbox.net/forum2/Thread1342_Dateireplikation_SYSVOL_funktioniert_nicht_JRNL_WRAP_ERROR.aspx

    Danach muss ich also ein Burflags=D4 auf dem SBS und ein Burflags=D2 auf dem Memberserver starten.

    Was mich daran stört ist dass mit Burflags ja vion einem anderen DC repliziert wird der eine funktionstüchtige SYSVOL-.Kopie hält. Aber in diesem Fall sind doch auf den beiden einzigen vorhandenen DCs Fehler im SYSVOL. Geht das den dann überhaupt oder sehe ich da was falsch?

     

     


    • Bearbeitet MaFrei Montag, 5. Dezember 2011 12:19
    Montag, 5. Dezember 2011 12:18
  • Hi <realname please>,
     
    > Ich habe nun mal geforscht und dabei ein ähnliches Szenario gefunden:
    > Siehe:
    >
    >
    >
    > Danach muss ich also ein Burflags=D4 auf dem SBS und ein Burflags=D2 auf
    > dem Memberserver starten.
    >
    > Was mich daran stört ist dass mit Burflags ja vion einem anderen DC
    > repliziert wird der eine funktionstüchtige SYSVOL-.Kopie hält. Aber in
    > diesem Fall sind doch auf den beiden einzigen vorhandenen DCs Fehler im
    > SYSVOL. Geht das den dann überhaupt oder sehe ich da was falsch?
     
    Funktioniert die Anmeldung am SBS fehlerfrei? D.h. gibt es Fehler bei der
    Anmeldung bzgl. SYSVOL Verzeichnis respektive Gruppenrichtlinien,
    Anmelde-Scripts usw.?
     
    Wenn nicht, handelt es sich bei einem Single-Domain Conntroller um einen
    nicht schwerwiegenden Fehler und sollte natürlich erst behoben werden
    (s.u.), wenn weitere Domain Controller der Domäne hinzugefügt werden, so
    dass dann zwischen den einzigen DC (authoritative) und den neuen DCs
    (non-authoritative)repliziert werden kann.
     
    Hintergrund:
     
    [..]
    administrators may stop the FRS service for long periods of time. In this
    case, administrators may not realize the potential impact. Also, error
    conditions may cause the FRS service to shut down, and this causes a
    journal wrap error
    [..]
     
    Deswegen: Den fehlerfreien Anmelde Domain Controller (hier SBS) als
    authoritative einstufen (BURFLAGS=D4) und dann weitere Domain Controller
    mit "BURFLAGS=D2" (non-authoritative) dazu zwingen, von dem authoritative
    SYSVOL Ordner des SBS zu replizieren.
     
    S.a.:
     
    [..]
    •If you start the FRS with the Burflags registry entry set to D4, the FRS
    initially treats the files and folders on its local copy of the SYSVOL tree
    as authoritative for the replica set. Only one member of an FRS replica set
    should be initialized with the D4 setting.
     
    •If you start the FRS with the Burflags registry entry set to D2, the FRS
    performs a full synchronization of files and folders from a direct or
    transitive replication partner that is hosting the authoritative copy of
    files and folders in the replica set.
     
    •When you start the FRS with the Burflags registry entry set to D4, the
    configuration is generally referred to as an “authoritative restore” for
    the contents of an FRS replica set, even though no actual restore of the
    system state occurred. Think of the D4 setting as rebuilding the FRS part
    of the first domain controller in a new domain.
     
    •When you start the FRS with the Burflags registry entry set to D2, the
    configuration is generally referred to as a non-authoritative restore, even
    though no restore of the system state occurred. Think of the D2 setting as
    rebuilding the FRS part of the replica domain controller as if the domain
    controller were new.
     
    •After each of the authoritative or non-authoritative restored computers
    has completed initialization, the FRS becomes multi-master aware.
    •If you set Burflags to D4 on a single domain controller and set Burflags
    to D2 on all other domain controllers in that domain, you can rebuild the
    SYSVOL tree in that domain. This bulk rebuild process is known as a hub,
    branch, or bulk FRS restart.
    [..]
     
     
    Weitere Informationen:
     
    Introduction to Administering SYSVOL
     
    Managing SYSVOL
     
    How to force an authoritative and non-authoritative synchronization for
    DFSR-replicated SYSVOL (like "D4/D2" for FRS)
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    • Als Antwort markiert MaFrei Montag, 5. Dezember 2011 15:17
    Montag, 5. Dezember 2011 14:41
    Moderator
  • Ja, ich habe das Problem bezüglich dem zweiten DC mittels BurFlags gelöst. Leider hat sich mein eigentliches Problem nicht erledigt, aber dazu mache ich noch einen Thread auf.
    Montag, 5. Dezember 2011 15:17
  • Hi <realname please>,
     
    Vorab: Es gehört weiterhin zum guten Ton sich namentlich vorzustellen.
     
    > Ja, ich habe das Problem bezüglich dem zweiten DC mittels BurFlags
    > gelöst. Leider hat sich mein eigentliches Problem nicht erledigt, aber
    > dazu mache ich noch einen Thread auf.
     
    Ein DCPromo ist u.a. für ein SQL-Server nicht supportet (s.u.), da mittels
    einem DCPromo die SAM-Datenbank gegen die AD-Datenbank ausgetauscht und die
    Fileberechtigungen auf NTFS-Basis derart agepasst werden, dass vorher
    installierte Software dadurch die von Dir beschriebene Probleme wirft.
     
    Ergo: Zurück auf Start
     
    You cannot start the SQL Server service after you install Active Directory
    on a Windows Server 2003-based member server or you run the DCPromo command
    on a Windows Server 2003-based domain controller
    [..]
    This issue occurs because the required discretionary access control list
    (DACL) for some files has been deleted. The DACL is deleted when you
    install Active Directory on the member server or when you run the DCPromo
    command on the domain controller.
    [..]
     
     
    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
     
    Dienstag, 6. Dezember 2011 08:02
    Moderator