Domäne nach Neustart DC erst nach 30min verfügbar

14/12/2007 - 10:39 von Björn | Report spam
Hallo Zusammen,

ich habe folgendes Problem:
Nach einem Neustart unseres DCs (SchemaMaster) dauert es ca 30min bis
man sich am Server (Console) anmelden kann. Vorher kommt immer die
Fehlermeldung, das die Domàne zur Zeit nicht zur Verfügung steht.

(Die Anmeldung wurde zurückgewiesen für DOMAIN\Administrator. Die
Terminalserverkonfiguration kann nicht ermittelt werden. Fehler: Die
angegebene Domàne ist nicht vorhanden, oder es konnte keine Verbindung
hergestellt werden.)



Im Ereignisprotokoll habe ich folgende Fehler gefunden:


Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 2087
Datum: 13.12.2007
Zeit: 16:49:04
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC1
Beschreibung:
Active Directory konnte den folgenden DNS-Hostnamen des
Quelldomànencontrollers nicht zu einer IP-Adresse auflösen. Dieser
Fehler verhindert die Replizierung von von Hinzufüge- bzw.
Löschvorgàngen oder Änderungen im Active Directory zwischen einen oder
mehreren Domànencontrollern in der Gesamtstruktur. Sicherheitsgruppen,
die Gruppenrichtlinie, Benutzer und Computer und deren Kennwörter werden
dadurch inkonsistent zwischen den Domànencontrollern, solange dieser
Fehler nicht behoben wird. Eventuell wird auch die
Anmeldungsauthentifizierung bzw. der Zugriff auf Netzwerkressourcen,
beeinflusst.

Quelldomànencontroller:
mimas
Fehlgeschlagener DNS-Hostname:
269a3b73-4461-4219-b4e3-2e7839f4a794._msdcs.domain.local

Anmerkung: Standardmàßig werden nur maximal 10 DNS-Fehler innerhalb
eines Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler
aufgetreten sind. Setzen Sie den folgenden Registrierungswert auf 1, um
alle individuellen Fehlerereignisse zu protokollieren:

Registrierungspfad:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Benutzeraktion:

1) Wenn der Quelldomànencontroller nicht mehr funktioniert bzw. dessen
Betriebssystem unter einem anderen Computernamen oder
NTDSDSA-Objekt-GUID neu installiert wurde, entfernen Sie die Metadaten
des Quelldomànencontrollers mit dem Programm NTDSUTIL.EXE entsprechend
der im MSKB-Artikel 216498 dargelegten Schritte.

2) Bestàtigen Sie, dass auf dem Quelldomànencontroller Active
Directory ausgeführt wird, und dass auf diesen über das Netzwerk
zugegriffen werden kann, indem Sie "NET VIEW \\<Quell-DC-Name>" oder
"PING <Quell-DC-Name>" eingeben.

3) Stellen Sie sicher, dass der Quelldomànencontroller einen gültigen
DNS-Server für die DNS-Dienste verwendet, und dass der Host- bzw.
CNAME-Eintrag des Quelldomànencontrollers richtig registriert ist, indem
Sie die für den DNS erweiterte Version von DCDIAG.EXE, verfügbar unter
http://www.microsoft.com/dns, ausführen.

dcdiag /test:dns

4) Stellen Sie sicher, dass dieser Zieldomànencontroller einen
gültigen DNS-Server für die DNS-Dienste verwendet, indem Sie die für den
DNS erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der
Konsole ausführen:

dcdiag /test:dns

5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie
unter KB 824449:
http://support.microsoft.com/?kbid‚4449

Zusàtzliche Daten
Fehlerwert:
11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten
des angeforderten Typs gefunden.


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
unter http://go.microsoft.com/fwlink/events.asp.



Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 1645
Datum: 13.12.2007
Zeit: 17:14:18
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC1
Beschreibung:
Active Directory hat den authentifizierten Remoteprozeduraufruf (RPC) zu
einer anderen Domàne nicht ausgeführt, weil der gewünschte
Dienstprinzipalname (SPN) für den Zieldomànencontroller im
Schlüsselverteilungscenter (KDC)-Domànencontroller, der zum SPN gehört,
nicht registriert ist.

Zieldomànencontroller:
9081ed0b-4ee8-418d-9dc5-c9e25329ed44._msdcs.domain.local
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/9081ed0b-4ee8-418d-9dc5-c9e25329ed44/itc.local@itc.local


Benutzeraktion
Stellen Sie sicher, dass die Namen des Zieldomànencontrollers und der
Domàne richtig sind. Stellen Sie außerdem sicher, dass der SPN auf dem
KDC-Domànencontroller registriert ist. Wenn der Zieldomànencontroller
vor kurzem heraufgestuft wurde, wird es notwendig sein, für die lokalen
Domànencontroller-Computerkontodaten auf den KDC zu replizieren, bevor
dieser Computer authentifiziert werden kann.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
unter http://go.microsoft.com/fwlink/events.asp.

-

Nach den besagten 30 Minuten funktioniert alles aber normal. Auch dcdiag
bringt keine Fehler.
Das Netzwek ist von ANfang an verfügbar, mit ping und RDP getestet).



Hat jemand eine IDee, woran das liegen könnte?

Vielen Dank!
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
14/12/2007 - 20:17 | Warnen spam
Servus,

Björn wrote:
Quelldomànencontroller:
mimas
Fehlgeschlagener DNS-Hostname:
269a3b73-4461-4219-b4e3-2e7839f4a794._msdcs.domain.local



existiert dieser DC und wenn ja, überprüfe auf diesem das Ereignisprotokoll
sowie das DNS (existieren seine SRV-Records etc). Steht in den
TCP/IP-Einstellungen eine echte IP-Adresse eines bestehenden DNS-Servers
drin und nicht etwa ein DNS-Server vom ISP?
Bestehen etwaige Netzwerkprobleme?
Wie heißt das fünfte Renntier vom Weihnachtsmann?
Du hast auch nichts zu deiner Umgebung erwàhnt.
Wie viele DCs existieren mit welcher OS-Version?

Vor der eigentlichen Replikation, führt der DC ein DNS-Lookup durch und
stellt somit zwei Punkte sicher:

1. Die Namensauflösung zum Replikationspartner funktioniert
2. Der Replikationspartner ist physikalisch erreichbar

Daher ist in einer AD-Umgebung das DNS ein wichtiger Dienst,
der ordnungsgemàß funktionieren.
Des Weiteren solltest du mit den beiden Tools DCDIAG sowie NetDIAG
(aus den Windows Support Tools) den Zustand des DCs überprüfen.
Du hast zwar mit DCDIAG deinen DC überprüft, solltest aber
weitergehende Tests durchführen (z.B. DCDIAG /v).
Insbesondere sind das DNS sowie die Replikation mit den
beiden Tools zu kontrollieren.

Gehe auch diesen Artikel durch:

[Troubleshooting Active Directory replication failures that occur because of
DNS lookup failures, event ID 2087, or event ID 2088]
http://support.microsoft.com/kb/824449/en-us

[Domànencontroller mit DCDIAG prüfen - faq-o-matic.net]
http://faq-o-matic.net/blogs/faq-o-...uefen.aspx

[Yusuf`s Directory - Blog - Domànencontroller Diagnose mit NETDIAG]
http://blog.dikmenoglu.de/PermaLink...94cc5.aspx


Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 1645



Beachte die Beschreibung in der Fehlermeldung und gehe
den Anweisungen nach.

Ansonsten gehe diese Artikel durch:
[Active Directory Replication and Knowledge Consistency Checker
Fail without Trusted Domain Object]
http://support.microsoft.com/kb/257844/en-us

[A missing service principal name may prevent domain controllers from replicating]
http://support.microsoft.com/kb/308111/en-us

Ein Blick auf Eventid.net solltest du ebenfalls werfen:
http://www.eventid.net/display.asp?eventid45&eventno51&source=NTDS%20Replication&phase=1


Du kannst auch eine Analyse über die AD-Datenbank laufen lassen und wenn
Fehler gefunden werden, diese mit einem FIXUP versuchen zu reparieren.
Ein Backup sollte sicherheitshalber vorher erstellt werden.

[Yusuf`s Directory - Blog - Die Active Directory-Datenbank reparieren]
http://blog.dikmenoglu.de/PermaLink...2d449.aspx


Regards from Mainz/Germany
Yusuf Dikmenoglu - MVP Windows Server
Blog: http://blog.dikmenoglu.de

Ähnliche fragen