Domänencontroller kann nicht mehr in die Zentrale replizieren

30/06/2008 - 19:48 von André Sydoriak | Report spam
Hallo NG,

ich habe hier ein sehr schwerwiegendes Problem.

Ein Domànencontroller eines Remotestandortes ist seit sehr langer Zeit
nicht mehr in der Lage gewesen sich mit den Domànencontrollern der
Zentrale zu replizieren.

Da mein Vorgànger hier ein wenig schlampig in der Konfiguration des
Netzes war, konnte sich der Domànencontroller des Remotestandortes seit
!Monaten! nicht mehr gen Zentrale replizieren, da die Verbindung via VPN
nur von der Seite des Remotestandortes zur VPN-Einwahl angestoßen werden
konnte (Reine PPTP Verbindung bei Bedarf, wenn man mal was aus der
Zentrale brauchte...) Die Tombstone-Lifetime ist also schon weit
abgelaufen :-(

Da nun keine Anmeldung an der Domàne durch Clients, kein autorisierter
DHCP und kein DNS (komplette DNS Einstellungen in der Verwaltungsconsole
sind leer) mehr funktioniert, habe ich leider die sehr unschöne Aufgabe
das auszubügeln.

Folgende Info?s für Euch:

Server der Zentrale:

2x Windows 2003 R2 als DC mit DNS, DHCP und WINS aktuell gepacht

Server des Remotestandorts:

1x Windows 2003 als DC (ursprünglich wohl mit DNS, DHCP und WINS)
Patchlevel noch nicht geklàrt.

Die beiden Standorte sind durch mich via ZyXEL ZyWALL VPN miteinander
verbunden worden und die PPTP Verbindung habe ich disabled. Beide
Netzwerke sehen sich jetzt also einwandfrei.

Im Eventlog des Remote-DC?s finden sich tausende Fehlermeldungen nach
diesem Stil:




Ereignistyp: Warnung
Ereignisquelle: NTDS KCC
Ereigniskategorie: Konsistenzprüfung
Ereigniskennung: 1925
Datum: 30.06.2008
Zeit: 19:24:26
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: dc-remote
Beschreibung:
Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden schreibbaren Verzeichnispartition.

Verzeichnispartition:
CN=Configuration,DC=LAN,DC=domàne,DCÞ
Quelldomànencontroller:
CN=NTDS Settings,CN=SRVMAIL,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=LAN,DC=domàne,DCÞ
Adresse des Quelldomànencontrollers:
d7bb2ea3-c50a-4c22-9aa1-e6d0b0813b66._msdcs.LAN.domàne.DE
Standortübergreifende Übertragung (falls vorhanden):
CN=IP,CN=Inter-Site Transports,CN=Sites,CN=Configuration,DC=LAN,DC=domàne,DCÞ

Dieser Domànencontroller kann nicht mit dem Quelldomànencontroller replizieren, solange das Problem nicht behoben ist.

Benutzeraktion
Überprüfen Sie, ob auf den Quelldomànencontroller zugegriffen werden kann und ob eine Netzwerkverbindung besteht.

Zusàtzliche Daten
Fehlerwert:
1753 In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.



Ereignistyp: Warnung
Ereignisquelle: NtFrs
Ereigniskategorie: Keine
Ereigniskennung: 13508
Datum: 22.06.2008
Zeit: 21:00:53
Benutzer: Nicht zutreffend
Computer: dc-remote
Beschreibung:
Der Dateireplikationsdienst konnte die Replikation von SRVMAIL nach dc-remote für c:\windows\sysvol\domain mit DNS-Namen srvmail.LAN.domàne.DE nicht aktivieren. Es wird ein neuer Versuch gestartet.
Mögliche Ursachen für diese Warnung sind:

[1] Der DNS-Name srvmail.LAN.domàne.DE von diesem Computer konnte nicht ausgewertet werden.
[2] Der Dateireplikationsdienst wird auf srvmail.LAN.domàne.DE nicht ausgeführt.
[3] Die Topologieinformationen im Active Directory dieses Replikats wurden noch nicht auf allen Domànencontrollern repliziert.

Diese Ereignisprotokollmeldung wird einmal pro Verbindung angezeigt. Nachdem der Fehler behoben wurde, wird eine andere Ereignisprotokollmeldung angezeigt, die bestàtigt, dass die Verbindung hergestellt wurde.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 21 07 00 00 !...




Wie würdet Ihr am besten vorgehen und dieses Problem zu lösen?

Folgendes habe ich mittlerweile schon gemacht:

1. Backup des Servers zur Sicherheit
2. Anpassen der Lan-Schnittstelle des Servers --> DNS Einstellungen von
127.0.0.1 auf IP des DNS Servers in der Zentrale
3. DNS Auflösung getestet --> Auflösung làuft fürs erste

Ich hoffe ich konnte für einen kleinen Überblick schaffen, ist ja nicht
gerade ein kleineres Problem. Falls Ihr noch detaillierte Fragen zur
Konfiguration haben solltet, nur her damit :-) Poste sie umgehend und gerne.

thx schonmal im Voraus,

cheers,
André
 

Lesen sie die antworten

#1 Frank Röder [MVP]
01/07/2008 - 06:34 | Warnen spam
Hallo André,

da die Tombstone Lifetime bereits abgelaufen ist, sieht das nicht gut
für Dich aus. Keine Angst, an und für sich ist das kein Problem:

1.) Stufe den DC im Remotestandort mit "dcpromo /forceremoval"
herunter.
2.) Führe auf einem DC im Hauptstandort ein "metadata cleanup" durch.

[Entfernen von Daten aus Active Directory nach fehlgeschlagener
Domànencontroller-Herabstufung]
http://support.microsoft.com/kb/216498

3.) Danach wartest Du einfach eine kurze Weile, damit die DCs im
Hauptstandort sich replizieren können.
4.) Jetzt könntest Du theoretisch die Maschine im Remotestandort wieder
mit dcpromo zum DC machen.

Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"

Ähnliche fragen