nach dcpromo keine Replikation möglich

29/08/2008 - 18:53 von Franz S. | Report spam
Hallo NG!

Ich muss folgende Problemstellung auflösen.
Eine bestehende AD Struktur mit einer Domain und zwei DC (pro Standort ein
DC) wird erweitert, auf gesamt 4 DCs. Dcpromo wurde auf den dritten DC
erfolgreich abgeschlossen, jedoch nach dem erforderlichen Neustart kam die
Meldung das ein Dienst oder Treiber nicht Initialisiert werden konnte. Ich
grenzte die Initialisierung auf den Anmeldedienst ein, da dieser Service
nicht gestartet wurde und sich nicht Starten làsst làuft dass Lokale Eventlog
auf dem DC voll mit Fehler Meldungen.
Auf den bestehenden und funktionierenden DC werden folgende Eintràge im
Eventlog erstellt:

Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 1645
Datum: 27.08.2008
Zeit: 09:54:06
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC1
Beschreibung:
Active Directory hat den authentifizierten Remoteprozeduraufruf (RPC) zu
einer anderen Domàne nicht ausgeführt, weil der gewünschte
Dienstprinzipalname (SPN) für den Zieldomànencontroller im
Schlüsselverteilungscenter (KDC)-Domànencontroller, der zum SPN gehört, nicht
registriert ist.

Zieldomànencontroller:
f37573c0-0054-4052-99c3-ae652b978aed._msdcs.XXXX.com
SPN:
E3514235-4B06-11D1-AB04-00C04FC2DCD2/f37573c0-0054-4052-99c3-ae652b978aed/XXXX.com@XXXX.com

Benutzeraktion
Stellen Sie sicher, dass die Namen des Zieldomànencontrollers und der Domàne
richtig sind. Stellen Sie außerdem sicher, dass der SPN auf dem
KDC-Domànencontroller registriert ist. Wenn der Zieldomànencontroller vor
kurzem heraufgestuft wurde, wird es notwendig sein, für die lokalen
Domànencontroller-Computerkontodaten auf den KDC zu replizieren, bevor dieser
Computer authentifiziert werden kann.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.


Ereignistyp: Warnung
Ereignisquelle: NTDS KCC
Ereigniskategorie: Konsistenzprüfung
Ereigniskennung: 1925
Datum: 27.08.2008
Zeit: 09:54:06
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC1
Beschreibung:
Fehler beim Herstellen einer Replikationsverknüpfung mit der folgenden
schreibbaren Verzeichnispartition.

Verzeichnispartition:
CN=Schema,CN=Configuration,DC=XXXX,DC=com
Quelldomànencontroller:
CN=NTDS Settings,CN=fehler behafteter
DomainController,CN=Servers,CN=Standort,CN=Sites,CN=Configuration,DC=XXXX,DC=com
Adresse des Quelldomànencontrollers:
f37573c0-0054-4052-99c3-ae652b978aed._msdcs.XXXX.com
Standortübergreifende Übertragung (falls vorhanden):


Dieser Domànencontroller kann nicht mit dem Quelldomànencontroller
replizieren, solange das Problem nicht behoben ist.

Benutzeraktion
Überprüfen Sie, ob auf den Quelldomànencontroller zugegriffen werden kann
und ob eine Netzwerkverbindung besteht.

Zusàtzliche Daten
Fehlerwert:
1396 Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.


Da es mir bisher nicht Möglich war diese Problem zu lösen habe ich noch
einen Server zum DC hochgestuft. Auf diesen Server traten keine Problem auf.
Er zeigt in der Ereignisanzeige folgende Meldung:

Ereignistyp: Fehler
Ereignisquelle: NTDS Replication
Ereigniskategorie: Verzeichnisdienst-RPC-Client
Ereigniskennung: 2087
Datum: 27.08.2008
Zeit: 16:36:55
Benutzer: NT-AUTORITÄT\ANONYMOUS-ANMELDUNG
Computer: DC4
Beschreibung:
Active Directory konnte den folgenden DNS-Hostnamen des
Quelldomànencontrollers nicht zu einer IP-Adresse auflösen. Dieser Fehler
verhindert die Replizierung von von Hinzufüge- bzw. Löschvorgàngen oder
Änderungen im Active Directory zwischen einen oder mehreren
Domànencontrollern in der Gesamtstruktur. Sicherheitsgruppen, die
Gruppenrichtlinie, Benutzer und Computer und deren Kennwörter werden dadurch
inkonsistent zwischen den Domànencontrollern, solange dieser Fehler nicht
behoben wird. Eventuell wird auch die Anmeldungsauthentifizierung bzw. der
Zugriff auf Netzwerkressourcen, beeinflusst.

Quelldomànencontroller:
DC1
Fehlgeschlagener DNS-Hostname:
e110fe65-ddc4-450c-8ddb-2c54f1e7f1aa._msdcs.XXXX.com

Anmerkung: Standardmàßig werden nur maximal 10 DNS-Fehler innerhalb eines
Zeitraums von 12 Stunden angezeigt, auch wenn mehr als 10 Fehler aufgetreten
sind. Setzen Sie den folgenden Registrierungswert auf 1, um alle
individuellen Fehlerereignisse zu protokollieren:

Registrierungspfad:
HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\22 DS RPC Client

Benutzeraktion:

1) Wenn der Quelldomànencontroller nicht mehr funktioniert bzw. dessen
Betriebssystem unter einem anderen Computernamen oder NTDSDSA-Objekt-GUID neu
installiert wurde, entfernen Sie die Metadaten des Quelldomànencontrollers
mit dem Programm NTDSUTIL.EXE entsprechend der im MSKB-Artikel 216498
dargelegten Schritte.

2) Bestàtigen Sie, dass auf dem Quelldomànencontroller Active Directory
ausgeführt wird, und dass auf diesen über das Netzwerk zugegriffen werden
kann, indem Sie "NET VIEW \\<Quell-DC-Name>" oder "PING <Quell-DC-Name>"
eingeben.

3) Stellen Sie sicher, dass der Quelldomànencontroller einen gültigen
DNS-Server für die DNS-Dienste verwendet, und dass der Host- bzw.
CNAME-Eintrag des Quelldomànencontrollers richtig registriert ist, indem Sie
die für den DNS erweiterte Version von DCDIAG.EXE, verfügbar unter
http://www.microsoft.com/dns, ausführen.

dcdiag /test:dns

4) Stellen Sie sicher, dass dieser Zieldomànencontroller einen gültigen
DNS-Server für die DNS-Dienste verwendet, indem Sie die für den DNS
erweiterte Version des Befehls DCDIAG.EXE folgendermaßen auf der Konsole
ausführen:

dcdiag /test:dns

5) Weitere Informationen zur Analyse von DNS-Fehlern erhalten Sie unter KB
824449:
http://support.microsoft.com/?kbid‚4449

Zusàtzliche Daten
Fehlerwert:
11004 Der angeforderte Name ist gültig, es wurden jedoch keine Daten des
angeforderten Typs gefunden.


Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.


Denkbare Lösungen wàhren für mich das ich den derzeitigen DC Reparier
(konnte jedoch bis jetzt keine Lösung finden) oder den defekten DC
formatiere, ein metadata cleanup auf den ersten DC in der Gesamtstruktur
durchführe (nach http://support.microsoft.com/kb/216498) den zuvor
formatieren Server wieder Installieren (mit den gleichen Computername wie
bisher) und dcpromo durchführe.

Wie soll ich am besten Vorgehen.

PS: Außerdem fiel mir auf dass auf den lauffàhigen DCs kein Computerkonto
für den Defekten DC erstellt wurde.
Unter Directory-Standorte und –Dienste der defekte DC unter seiner Site ->
Server ,angezeigt wird jedoch ohne Domàne
 

Lesen sie die antworten

#1 Spas Kaloferov
01/09/2008 - 16:18 | Warnen spam
Hallo Franz,

kanns du mir bitte auf die folgenden Fragen beantworten.

Viewiel Forests gits es?

In welchen Forest liegt den problematischen DC?

Viewiel DNS und DHCP Servers gibt es, und wo ?



Mit freundlichen Grüßen,

Spas Kaloferov

Ähnliche fragen