Replikationsproblem

02/01/2009 - 10:03 von Walter Auernig | Report spam
Hallo,

ich hatte aufgrund àußerer Einflüsse einen einwöchigen Stillstand eines von
drei Domànencontrollern. Da dieser nun "außer Tritt" gefallen ist,
repliziert er nicht mehr. Fehlermeldung:

Ich habe schon viel gesucht, aber nichts gefunden.

Vorzugsweise würde ich den DC wieder zur ordnungsgeàßen Replikation zwingen
wollen.

In zweiter Linie würde ich ihn aber auch zurückstufen, was allerdings auch
nicht so einfach ist, da er bei dcpromo wieder ein Synchronisationsproblem
aufzeigt. Da kann ich mir nur vorstellen, den DC vom Netz nehmen, so zu tun
als wàre er der letzte DC in der Domàne und die Domàne auf dem Rechner zu
löschen. In der Domàne alle Konten des DC entfernen und den ehemaligen DC
wieder ins Netz stellen und der Domàne hinzufürgen und am Ende mit DCPromo
wieder als DC aktivieren. Das erscheint mir aber als eine recht umstàndliche
Variante.

Wie kann ich also den Rechner wieder zur Replikation bewegen?

Danke für Tipps
Walter Auernig
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
02/01/2009 - 12:08 | Warnen spam
Hola,

"Walter Auernig" schrieb:
ich hatte aufgrund àußerer Einflüsse einen einwöchigen Stillstand eines
von drei Domànencontrollern.



das ist kein Problem, denn die Tombstone Lifetime ist
noch lange nicht überschritten.


Fehlermeldung:



Also die wàre jetzt interessant.
Ich mach mal einen Schuss ins blaue. Lautet die Fehlermeldung zufàllig so,
dass die Replikation deaktiviert wurde? Falls ja, dann nstalliere dir die
Windows Support Tools (passend zum Service Pack) und führe REPADMIN aus.

Zum aktivieren der eingehenden Replikation, gibst du diesen Befehl ein:
REPADMIN /Options -DISABLE_INBOUND_REPL

Die ausgehende Replikation aktivierst du so:
REPADMIN /Options -DISABLE_OUTBOUND_REPL


Vorzugsweise würde ich den DC wieder zur ordnungsgeàßen Replikation
zwingen wollen.



Kontrolliere auch das Verzeichnisdienstlog des DCs und gehe den
Fehlermeldungen, mit der Suchmaschine deiner Wahl nach oder
Suche auf der folgenden Seite nach den EventIDs.

[EventID]
http://www.eventid.net

Du kannst auch die Replikation hàndisch anstoßen, entweder in dem du
auf das entsprechende Verbindungsobjekt einen Rechtsklick ausführst und
anschließend die Option "Jetzt Replizieren" auswàhlst. Das Verbindungsobjekt
siehst du, wenn du im Snap-In "Active Directory-Standorte und -Dienste" den
Standort erweiterst, gefolgt vom Container Servers sowie <DC-Name> und
anschließend das "NTDS Settings" Objekt auswàhlst.

Nur siehst du leider dabei keine Fortschrittsanzeige, es sei denn, es wird
ein
Fehler angezeigt. Etwas mehr siehst du schon im REPLMON, was sich ebenfalls
in den Windows Support Tools befindet.

Du könntest das ganze aber auch gezielter und feiner über REPADMIN
durchführen.
Ein möglicher Befehl könnte folgendermaßen lauten:

Für die Inbound-Replikation (eingehend):
REPADMIN /SYNCALL <FQDN DC> <Verzeichnispartition> /e /d /q
Für alle Verzeichnispartitionen: REPADMIN /SYNCALL <FQDN DC> /A /e /d /q

Für die Outbound-Replikation (ausgehend):
REPADMIN /SYNCALL <FQDN DC> <Verzeichnispartition> /e /d /q /P
REPADMIN /SYNCALL <FQDN DC> /A /e /d /q /P

Achtung: Die Parameter sind "case sensititve".
Schau dir die Hilfe zu REPADMIN an um ggf. die Replikation, die deinen
Wünschen entspricht, durchzuführen.

Du solltest darauf achten die Windows Support Tools, passend zum OS
und zum Service Pack-Stand zu installieren.

[Download details: Windows Server 2003 Service Pack 1 32-bit Support Tools]
http://www.microsoft.com/downloads/...laylang=en

[Download details: Windows Server 2003 Service Pack 2 32-bit Support Tools]
http://www.microsoft.com/downloads/...x?familyid–A35011-FD83-419D-939B-9A772EA2DF90&displaylang=en


In zweiter Linie würde ich ihn aber auch zurückstufen, was allerdings auch
nicht so einfach ist, da er bei dcpromo wieder ein Synchronisationsproblem
aufzeigt.



Genau, denn ein DCPROMO erfordert, dass sich der DC ordnungsgemàß
mit seinen Replikationspartnern replizieren kann. Jedoch kann man das
herunterstufen
eines DCs auch erzwingen. Dazu führst du das DCPROMO /FORCEREMOVAL aus.
Mit diesem Befehl werden die AD-Informationen vom DC entfernt. Anschließend
befindet
sich der Server in einer Areitsgruppe und nicht als Memberserver in der
Domàne,
was bei einem einfachen DCPROMO der Fall wàre (sofern es sich nicht um den
letzten DC in der Domàne handelt).

Als zweiten Schritt, musst du den DC noch aus den Metadaten des AD
entfernen.
Das kannst du unter Windows 2000/2003/2008 mit NTDSUTIL oder ADSIEdit
durchführen, wobei unter Windows Server 2008 du es auch durch die GUI
durchführen kannst.

Siehe auch (nicht vom Titel beirren lassen):
[Yusufs Directory Blog - Die Metadaten des Active Directory unter Windows
Server 2008 bereinigen]
http://blog.dikmenoglu.de/PermaLink...167b3.aspx

Falls der DC der Rolleninhaber der fünf FSMO-Rollen wàre,
würdest du ab Widnows Server 2003 SP1 für jede Rolle die der DC inne hàtte,
eine Warnmeldung erhalten. Diese Rollen müsseten dann auf einem anderen DC
"geseized" werden.

[Yusufs Directory Blog - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/PermaLink...d298d.aspx


Aber für diese Schritt ist es noch viel zu früh. Erst einmal gehe den
Fehlermeldungen nach und kontrolliere ob die Replikation deaktiviert wurde.
Was bei einer AD-Umgebung elementar ist, wàre das DNS. Denn bevor ein
DC eine Replikation durchführt, führt er zuerst einen DNS-Lookup durch.
Damit
stellt der DC zwei Dinge sicher:

1. Der Replikationspartner ist erreichbar.
2. Die Namensauflösung funktioniert.

Daher könntest du auch noch das DCDIAG, welches sich ebenfalls in den
Windows Support Tools befindet ausführen, um den generellen
/Gesundheitszustand/
des DCs zu überprüfen.

Viele Grüße aus Mainz
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen