51
Server 2008 R2 Domänenprobleme
Hallo Leute,
ich hoffe hier sind vielleicht ein paar AD / Domänen Profis, die mir vielleicht helfen können.
Ich habe einen einzelnen Domaincontroller (domaene-dc04).
Alle anderen Domänencontroller (alt, da Server 2003) wurden entfernt.
Der Server "domaene-dc04" ist nun also der einzige DC für die Domäne: "Domaene".
Nun gibt DCDIAG bei KCCEvent folgende Fehler aus... :
Was kann ich tun ?
Irgendwelche Ansätze ?
DNS habe ich schon geprüft, dort steht überall nur noch der übrig gebliebene domaene-dc04 drin.
Auch unter AD-Standorte-und-Dienste ist nur noch der übrig gebliebene DC aufgelistet.
Ich hoffe, es kann mir jemand helfen
ich hoffe hier sind vielleicht ein paar AD / Domänen Profis, die mir vielleicht helfen können.
Ich habe einen einzelnen Domaincontroller (domaene-dc04).
Alle anderen Domänencontroller (alt, da Server 2003) wurden entfernt.
Der Server "domaene-dc04" ist nun also der einzige DC für die Domäne: "Domaene".
Nun gibt DCDIAG bei KCCEvent folgende Fehler aus... :
Starting test: KccEvent
* The KCC Event log test
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/08/2017 15:01:53
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/08/2017 15:01:53
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/08/2017 15:02:32
EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einf??gen des Index (%1) wurde nicht gefunden..
(Ereigniszeichenfolge (Ereignisprotokoll = Directory Service)
konnte nicht abgerufen werden. Fehler: 0x3ab5)
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/08/2017 15:02:32
EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einf??gen des Index (%1) wurde nicht gefunden..
(Ereigniszeichenfolge (Ereignisprotokoll = Directory Service)
konnte nicht abgerufen werden. Fehler: 0x3ab5)
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/08/2017 15:02:32
EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einf??gen des Index (%1) wurde nicht gefunden..
(Ereigniszeichenfolge (Ereignisprotokoll = Directory Service)
konnte nicht abgerufen werden. Fehler: 0x3ab5)
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/08/2017 15:02:32
Ereigniszeichenfolge:
Internal event: An LDAP client connection was closed because of an error.
Client IP:
[::1]:49162
Additional Data
Error value:
1236 Die Netzwerkverbindung wurde durch das lokale System getrennt.
Internal ID:
c0602f1
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/08/2017 15:02:32
Ereigniszeichenfolge:
Internal event: An LDAP client connection was closed because of an error.
Client IP:
[::1]:49161
Additional Data
Error value:
1236 Die Netzwerkverbindung wurde durch das lokale System getrennt.
Internal ID:
c0602f1
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/08/2017 15:02:32
Ereigniszeichenfolge:
Internal event: An LDAP client connection was closed because of an error.
Client IP:
[::1]:49166
Additional Data
Error value:
1236 Die Netzwerkverbindung wurde durch das lokale System getrennt.
Internal ID:
c0602f1
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/08/2017 15:02:32
EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einf??gen des Index (%1) wurde nicht gefunden..
(Ereigniszeichenfolge (Ereignisprotokoll = Directory Service)
konnte nicht abgerufen werden. Fehler: 0x3ab5)
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/08/2017 15:02:33
Ereigniszeichenfolge:
Internal event: An LDAP client connection was closed because of an error.
Client IP:
NULL
Additional Data
Error value:
995 Der E/A-Vorgang wurde wegen eines Threadendes oder einer Anwendungsanforderung abgebrochen.
Internal ID:
c0102d4
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/08/2017 15:02:47
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/08/2017 15:02:47
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/08/2017 15:03:02
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
1 00002074: AtrErr: DSID-0312052C, #1:
0: 00002074: DSID-0312052C, problem 1001 (NO_ATTRIBUTE_OR_VAL), data 0, Att 90204 (serverReferenceBL)
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/08/2017 15:03:13
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-031001E5, problem 2001 (NO_OBJECT), data 0, best match of:
''
......................... domaene-DC04 hat den Test KccEvent nicht
bestanden.Was kann ich tun ?
Irgendwelche Ansätze ?
DNS habe ich schon geprüft, dort steht überall nur noch der übrig gebliebene domaene-dc04 drin.
Auch unter AD-Standorte-und-Dienste ist nur noch der übrig gebliebene DC aufgelistet.
Ich hoffe, es kann mir jemand helfen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 345710
Url: https://administrator.de/contentid/345710
Printed on: April 19, 2024 at 17:04 o'clock
51 Comments
Latest comment
Also Logeinträge von MS sind immer etwas kryptsich gehalten... du wirst doch wissen ob deine Domäne noch funktioniert oder nicht, sprich Benutzer hinzufügen, REchte verwalten, GPOs erstellen und auswerten... wenn dabei seltsame Phänomene auftreten dann ist die Datenbank defekt und bei kleineren Netzen lohnt es sich nicht ein kaputtes AD zu flicken, das breitet sich dann nur immer weiter aus, da muß man dann mal nen cut machen.
Hi,
wie wurden die alten DC's entfernt?
Der verbleibende DC ist auch Global Catalog? Er hat alle 5 FSMO Rollen?
E.
wie wurden die alten DC's entfernt?
Der verbleibende DC ist auch Global Catalog? Er hat alle 5 FSMO Rollen?
E.
Hallo Zusammen! ;)
@GrueneSosseMitSpeck:
Ja die Domäne funktioniert, soweit ich sehe, noch so wie sie sollte, jedoch möchte ich gerne, bevor ich einen weiteren DC hinzufüge, dass der dcdiag sauber ist... Ein Cut kommt nicht in Frage.
@emeriks:
Der eine DC wurde sauber mit DCPromo entfernt.
Der andere ließ sich nur noch mit dcpromo /force entfernen.
Der verbleibende DC hat alle FSMO Rollen, auch GC. ;)
@GrueneSosseMitSpeck:
Ja die Domäne funktioniert, soweit ich sehe, noch so wie sie sollte, jedoch möchte ich gerne, bevor ich einen weiteren DC hinzufüge, dass der dcdiag sauber ist... Ein Cut kommt nicht in Frage.
@emeriks:
Der eine DC wurde sauber mit DCPromo entfernt.
Der andere ließ sich nur noch mit dcpromo /force entfernen.
Der verbleibende DC hat alle FSMO Rollen, auch GC. ;)
Hallo.
Das sind Fehler bezüglich der Replikation. Dein DC vermisst seine Kumpels. Vermute du hast die Betriebsmaster-Rollen nicht übertragen oder Die alten DC's sind noch irgendwo registriert. Es gibt eine Menge Stoff dazu im Netz. Google is our best friend
:D
Das sind Fehler bezüglich der Replikation. Dein DC vermisst seine Kumpels. Vermute du hast die Betriebsmaster-Rollen nicht übertragen oder Die alten DC's sind noch irgendwo registriert. Es gibt eine Menge Stoff dazu im Netz. Google is our best friend
:D
Habe schon alles mögliche gegoogelt und gelesen.
Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?
Vielen Dank im Voraus.
Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?
Vielen Dank im Voraus.
Der andere ließ sich nur noch mit dcpromo /force entfernen.
Dies entfernt den DC nicht aus dem AD! Es enfernt nur die AD-Rolle vom Server.Suche mal nach "NTDSUTIL" und "Metadata Cleanup".
Moin!
https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
https://www.petri.com/delete_failed_dcs_from_ad
http://kpytko.pl/active-directory-domain-services/metadata-cleanup-for- ...
http://www.msserverpro.com/metadata-cleanup-using-ntdsutil-in-windows-s ...
Gruß,
Dani
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?
Stichwort: celan up metadataWo könnte ich schauen ?
https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
https://www.petri.com/delete_failed_dcs_from_ad
http://kpytko.pl/active-directory-domain-services/metadata-cleanup-for- ...
http://www.msserverpro.com/metadata-cleanup-using-ntdsutil-in-windows-s ...
Habe schon alles mögliche gegoogelt und gelesen.
Anscheinend das falsche bzw. es scheitert an der Umsetzung.Gruß,
Dani
metadata cleanup habe ich schon durch...
Versuche mal "dcdiag /fix". Vielleicht hilfts.
Danke für den Tipp... ;)
Habe ich aber auch schon versucht...
Habe ich aber auch schon versucht...
Bitte mal Netztopologie beschreiben:
Hast Du nur IPv6 im Einsatz oder fährst Du auch IPv4?
Dein Blech sucht sich anscheinend auf IPv6 und kriegt nüscht.
Im Zuge, dass Du Win2003 vorher mit benutzt hast, müsste es eigentlich IPv4 sein. Oder?
In welchem Modus befindet sich Deine Domäne derzeit 2008 gemischt?
Und bitte stell auch die Windowsereignislog-Einträge dazu zur Verfügung.
Hast Du nur IPv6 im Einsatz oder fährst Du auch IPv4?
Dein Blech sucht sich anscheinend auf IPv6 und kriegt nüscht.
Im Zuge, dass Du Win2003 vorher mit benutzt hast, müsste es eigentlich IPv4 sein. Oder?
In welchem Modus befindet sich Deine Domäne derzeit 2008 gemischt?
Und bitte stell auch die Windowsereignislog-Einträge dazu zur Verfügung.
IPv6 wird nicht genutzt.
IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.
Das Domänenschema ist nun auf 2008 R2.
--
Wie gesagt, ich habe nur noch einen Server 2008R2, der jetzt alleiniger DC ist und alle FSMO Rollen besitzt.
Dazu haben wir noch einen Exchange 2007 mit in der Umgebung & das war es schon.. !
IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.
Das Domänenschema ist nun auf 2008 R2.
--
Wie gesagt, ich habe nur noch einen Server 2008R2, der jetzt alleiniger DC ist und alle FSMO Rollen besitzt.
Dazu haben wir noch einen Exchange 2007 mit in der Umgebung & das war es schon.. !
Moin,
Gruß,
Dani
IPv6 wird nicht genutzt. IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.
Gebot 1: Du sollst nicht Änderungen vornehmen, welche nicht Best Practice entsprechen. Bitte wieder rückgängig machen.Gruß,
Dani
Alles klar, auch kein Problem, dann lass ich IPv6 eben aktiviert, aber wie komme ich jetzt weiter in meinem Dilemma ?.. 
Moin,
Gruß,
Dani
metadata cleanup habe ich schon durch...
die manuellen Nacharbeiten auch? Anschließend bietet es sich an den DC neu zustarten. Nochmals ein Artikel als Referenz zu deinem Vorgehen. Sicher ist sicher.Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Schön und gut, aber kontrolliere es bitte nochmals.Gruß,
Dani
@Dani:
Ja habe ich inkl. Nacharbeiten gemacht.
Hier nochmal ein ausführliches DCDiag /e /v...
Die IP 10.1.1.10 ist übrigens die von unserem Exchange Server.
Ja habe ich inkl. Nacharbeiten gemacht.
Hier nochmal ein ausführliches DCDiag /e /v...
Die IP 10.1.1.10 ist übrigens die von unserem Exchange Server.
Verzeichnisserverdiagnose
Anfangssetup wird ausgef??hrt:
Der Homeserver wird gesucht...
* Vergewissern Sie sich, dass es sich bei dem lokalen Computer domaene-dc04
um einen Verzeichnisserver handelt.
Homeserver = domaene-dc04
* Die Verbindung mit dem Verzeichnisdienst auf Server domaene-dc04 wird
hergestellt.
* Identifizierte AD-Gesamtstruktur.
Collecting AD specific global data
* Standortinformationen werden gesammelt.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=domaene,DC=lan,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
Getting ISTG and options for the site
* Alle Server werden identifiziert.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=domaene,DC=lan,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Alle Querverweise des Namenskontexts werden identifiziert.
* 1 Dom???nencontroller gefunden. 1 davon werden getestet.
Sammeln der Ausgangsinformationen abgeschlossen.
Erforderliche Anfangstests werden ausgef??hrt.
Server wird getestet: Standardname-des-ersten-Standorts\domaene-DC04
Starting test: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
......................... domaene-DC04 hat den Test Connectivity
bestanden.
Prim???rtests werden ausgef??hrt.
Server wird getestet: Standardname-des-ersten-Standorts\domaene-DC04
Starting test: Advertising
The DC domaene-DC04 is advertising itself as a DC and having a DS.
The DC domaene-DC04 is advertising as an LDAP server
The DC domaene-DC04 is advertising as having a writeable directory
The DC domaene-DC04 is advertising as a Key Distribution Center
The DC domaene-DC04 is advertising as a time server
The DS domaene-DC04 is advertising as a GC.
......................... domaene-DC04 hat den Test Advertising
bestanden.
Test durch Benutzeranforderung ausgelassen: CheckSecurityError
Test durch Benutzeranforderung ausgelassen: CutoffServers
Starting test: FrsEvent
* Der Ereignisprotokollierungstest f??r den Dateireplikationsdienst
F??r den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind
Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation k???nnen Probleme mit der Gruppenrichtlinie zur Folge
haben.
Warnung. Ereignis-ID: 0x800034FA
Erstellungszeitpunkt: 08/08/2017 08:46:39
Ereigniszeichenfolge:
Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Dom???nencontrollers "domaene-dc04.domaene.lan" der Konfigurationsinformationen des FRS-Replikatsatzes vom Dateireplikationsdienst ermittelt wurden.
Es konnte keine Bindung mit dem Dom???nencontroller hergestellt werden. Der Vorgang wird beim n???chsten Abrufzyklus wiederholt.
Warnung. Ereignis-ID: 0x800034FA
Erstellungszeitpunkt: 08/08/2017 10:09:21
Ereigniszeichenfolge:
Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Dom???nencontrollers "domaene-dc04.domaene.lan" der Konfigurationsinformationen des FRS-Replikatsatzes vom Dateireplikationsdienst ermittelt wurden.
Es konnte keine Bindung mit dem Dom???nencontroller hergestellt werden. Der Vorgang wird beim n???chsten Abrufzyklus wiederholt.
......................... domaene-DC04 hat den Test FrsEvent
bestanden.
Starting test: DFSREvent
The DFS Replication Event Log.
??berspringt den Test, da auf dem Server FRS ausgef??hrt wird.
......................... domaene-DC04 hat den Test DFSREvent
bestanden.
Starting test: SysVolCheck
* Der SYSVOL-Bereitschaftstest f??r den Dateireplikationsdienst
Das SYSVOL des Dateireplikationsdiensts ist bereit.
......................... domaene-DC04 hat den Test SysVolCheck
bestanden.
Starting test: KccEvent
* The KCC Event log test
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:14:46
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 000020EF: NameErr: DSID-032500FA, problem 2001 (NO_OBJECT), data -1603, best match of:
''
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/09/2017 08:15:26
Ereigniszeichenfolge:
Internal event: An LDAP client connection was closed because of an error.
Client IP:
10.1.1.10:8893
Additional Data
Error value:
1236 Die Netzwerkverbindung wurde durch das lokale System getrennt.
Internal ID:
c0602f1
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:15:27
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:15:27
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:15:46
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:15:46
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:17:13
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:17:13
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:17:13
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:17:13
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:17:13
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:18:29
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:18:29
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:18:44
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:18:44
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:18:50
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
1 00002074: AtrErr: DSID-0312052C, #1:
0: 00002074: DSID-0312052C, problem 1001 (NO_ATTRIBUTE_OR_VAL), data 0, Att ffffffff (Not in cache!)
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:19:07
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:19:07
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:20:08
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
1 00002074: AtrErr: DSID-0312052C, #1:
0: 00002074: DSID-0312052C, problem 1001 (NO_ATTRIBUTE_OR_VAL), data 0, Att 90204 (serverReferenceBL)
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:20:08
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 000020EF: NameErr: DSID-032500FA, problem 2001 (NO_OBJECT), data -1603, best match of:
''
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:20:27
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:20:27
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=System,DC=domaene,DC=lan'
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:20:27
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=System,DC=domaene,DC=lan'
Warnung. Ereignis-ID: 0x800004C0
Erstellungszeitpunkt: 08/09/2017 08:20:56
Ereigniszeichenfolge:
Internal event: An LDAP client connection was closed because of an error.
Client IP:
10.1.1.10:8925
Additional Data
Error value:
1236 Die Netzwerkverbindung wurde durch das lokale System getrennt.
Internal ID:
c0602f1
Fehler. Ereignis-ID: 0xC00005C9
Erstellungszeitpunkt: 08/09/2017 08:20:57
Ereigniszeichenfolge:
Internal error: The operation on the object failed.
Additional Data
Error value:
2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=407,CN=DisplaySpecifiers,CN=Configuration,DC=domaene,DC=lan'
......................... domaene-DC04 hat den Test KccEvent nicht
bestanden.
Starting test: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
Role Domain Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
Role PDC Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
Role Rid Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
Role Infrastructure Update Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
......................... domaene-DC04 hat den Test
KnowsOfRoleHolders bestanden.
Starting test: MachineAccount
Checking machine account for DC domaene-DC04 on DC domaene-DC04.
* SPN found :LDAP/domaene-dc04.domaene.lan/domaene.lan
* SPN found :LDAP/domaene-dc04.domaene.lan
* SPN found :LDAP/domaene-DC04
* SPN found :LDAP/domaene-dc04.domaene.lan/domaene
* SPN found :LDAP/3153bf66-452a-4a9e-afb0-34cfe6806464._msdcs.domaene.lan
* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/3153bf66-452a-4a9e-afb0-34cfe6806464/domaene.lan
* SPN found :HOST/domaene-dc04.domaene.lan/domaene.lan
* SPN found :HOST/domaene-dc04.domaene.lan
* SPN found :HOST/domaene-DC04
* SPN found :HOST/domaene-dc04.domaene.lan/domaene
* SPN found :GC/domaene-dc04.domaene.lan/domaene.lan
......................... domaene-DC04 hat den Test MachineAccount
bestanden.
Starting test: NCSecDesc
* Security Permissions check for all NC's on DC domaene-DC04.
The forest is not ready for RODC. Will skip checking ERODC ACEs.
* ??berpr??fung der Sicherheitsberechtigungen f??r
DC=DomainDnsZones,DC=domaene,DC=lan
(NDNC,Version 3)
* ??berpr??fung der Sicherheitsberechtigungen f??r
DC=ForestDnsZones,DC=domaene,DC=lan
(NDNC,Version 3)
* ??berpr??fung der Sicherheitsberechtigungen f??r
CN=Schema,CN=Configuration,DC=domaene,DC=lan
(Schema,Version 3)
* ??berpr??fung der Sicherheitsberechtigungen f??r
CN=Configuration,DC=domaene,DC=lan
(Configuration,Version 3)
* ??berpr??fung der Sicherheitsberechtigungen f??r
DC=domaene,DC=lan
(Domain,Version 3)
......................... domaene-DC04 hat den Test NCSecDesc
bestanden.
Starting test: NetLogons
* Network Logons Privileges Check
Verified share \\domaene-DC04\netlogon
Verified share \\domaene-DC04\sysvol
......................... domaene-DC04 hat den Test NetLogons
bestanden.
Starting test: ObjectsReplicated
domaene-DC04 is in domain DC=domaene,DC=lan
Checking for CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan in domain DC=domaene,DC=lan on 1 servers
Object is up-to-date on all servers.
Checking for CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan in domain CN=Configuration,DC=domaene,DC=lan on 1 servers
Object is up-to-date on all servers.
......................... domaene-DC04 hat den Test ObjectsReplicated
bestanden.
Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels
Starting test: Replications
* Replications Check
* Replication Latency Check
DC=DomainDnsZones,DC=domaene,DC=lan
Latency information for 7 entries in the vector were ignored.
7 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
DC=ForestDnsZones,DC=domaene,DC=lan
Latency information for 8 entries in the vector were ignored.
8 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
CN=Schema,CN=Configuration,DC=domaene,DC=lan
Latency information for 8 entries in the vector were ignored.
8 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
CN=Configuration,DC=domaene,DC=lan
Latency information for 8 entries in the vector were ignored.
8 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
DC=domaene,DC=lan
Latency information for 8 entries in the vector were ignored.
8 were retired Invocations. 0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc. 0 had no latency information (Win2K DC).
......................... domaene-DC04 hat den Test Replications
bestanden.
Starting test: RidManager
* Available RID Pool for the Domain is 6100 to 1073741823
* domaene-dc04.domaene.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 4100 to 4599
* rIDPreviousAllocationPool is 4100 to 4599
* rIDNextRID: 4264
......................... domaene-DC04 hat den Test RidManager
bestanden.
Starting test: Services
* Checking Service: EventSystem
* Checking Service: RpcSs
* Checking Service: NTDS
* Checking Service: DnsCache
* Checking Service: DFSR
* Checking Service: IsmServ
* Checking Service: kdc
* Checking Service: SamSs
* Checking Service: LanmanServer
* Checking Service: LanmanWorkstation
* Checking Service: w32time
* Checking Service: NETLOGON
......................... domaene-DC04 hat den Test Services
bestanden.
Starting test: SystemLog
* The System Event log test
Warnung. Ereignis-ID: 0x000003FC
Erstellungszeitpunkt: 08/09/2017 07:29:50
Ereigniszeichenfolge:
Der Bereich "10.4.5.0" ist zu 100 Prozent ausgelastet. Es stehen nur noch 0 IP-Adressen zur Verf??gung.
Warnung. Ereignis-ID: 0x000003FC
Erstellungszeitpunkt: 08/09/2017 07:29:50
Ereigniszeichenfolge:
Der Bereich "10.6.5.0" ist zu 100 Prozent ausgelastet. Es stehen nur noch 0 IP-Adressen zur Verf??gung.
Found no errors in "System" Event log in the last 60 minutes.
......................... domaene-DC04 hat den Test SystemLog
bestanden.
Test durch Benutzeranforderung ausgelassen: Topology
Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences
Starting test: VerifyReferences
Der Systemobjektverweis (serverReference)
CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan sowie der
Backlink auf
CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
sind korrekt.
Der Systemobjektverweis (serverReferenceBL)
CN=WIN-2GDFPKII20L,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domaene,DC=lan
sowie der Backlink auf
CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
sind korrekt.
Der Systemobjektverweis (frsComputerReferenceBL)
CN=WIN-2GDFPKII20L,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domaene,DC=lan
sowie der Backlink auf
CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan sind
korrekt.
......................... domaene-DC04 hat den Test VerifyReferences
bestanden.
Test durch Benutzeranforderung ausgelassen: VerifyReplicas
Test durch Benutzeranforderung ausgelassen: DNS
Test durch Benutzeranforderung ausgelassen: DNS
Partitionstests werden ausgef??hrt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgef??hrt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgef??hrt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation
bestanden.
Partitionstests werden ausgef??hrt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgef??hrt auf: domaene
Starting test: CheckSDRefDom
......................... domaene hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... domaene hat den Test CrossRefValidation
bestanden.
Unternehmenstests werden ausgef??hrt auf: domaene.lan
Test durch Benutzeranforderung ausgelassen: DNS
Test durch Benutzeranforderung ausgelassen: DNS
Starting test: LocatorCheck
Name des globalen Katalogs: \\domaene-dc04.domaene.lan
Locator Flags: 0xe00033fd
PDC Name: \\domaene-dc04.domaene.lan
Locator Flags: 0xe00033fd
Time Server Name: \\domaene-dc04.domaene.lan
Locator Flags: 0xe00033fd
Preferred Time Server Name: \\domaene-dc04.domaene.lan
Locator Flags: 0xe00033fd
KDC Name: \\domaene-dc04.domaene.lan
Locator Flags: 0xe00033fd
......................... domaene.lan hat den Test LocatorCheck
bestanden.
Starting test: Intersite
Der Standort Standardname-des-ersten-Standorts wird ??bersprungen. Der
Standort liegt au??erhalb des Bereichs, der mithilfe der
Befehlszeilenargumente angegeben wurde.
......................... domaene.lan hat den Test Intersite
bestanden.
Moin,
führe bitte auf dem DC noch ein netdiag /v aus und poste das Ergebnis hier.
Gruß,
Dani
führe bitte auf dem DC noch ein netdiag /v aus und poste das Ergebnis hier.
Gruß,
Dani
Netdiag kennt mein Server nicht, obwohl alle Support Tools installiert sind.
Lt. MS Technet:
Apparently netdiag is not supported in Windows Server 2008 or later, you can use Dcdiag instead.
Lt. MS Technet:
Apparently netdiag is not supported in Windows Server 2008 or later, you can use Dcdiag instead.
Mir machen die Zeilen 701-717 Kopfzerbrechen.
Wenn Du nur einen DC hast, wieso hat der dann immernoch anstehende Replikation invocations (wenn auch retired)?
Hattest Du, bevor Du den 2003er entfernt hast, die Replikation nochmal geprüft mit repadmin /showrepl?
War die in Ordnung?
Meine Sorge wäre, dass eventuell die Replikation irgendwann über den Jordan ging und der 2008er das nicht begriffen hat.
In Zusammenspiel mit 2003 ist "Islanding" nach wie vor ein Begriff. Auch was den Secure Channel angeht, der anscheinend broken ist.
Normalerweise würde man das so beheben:
Auf der betroffenen Maschine schaltet man den KDC-Dienst aus und bootet neu.
Dadurch wird diese gezwungen, sich mit dem KDC eines anderen DCs derselben Domäne auszutauschen.
Dann würde man das Maschinenkonto wieder zurücksetzen: netdom resetpwd /server: /userd:\ /passwordd:*
den KDC freigeben und den DC nochmal starten.
Da jetzt hier nur noch einer da ist, wird die Sache interessant.
Die Maschine muss sich an ihrem eigenen AD-Dienst anmelden. Das scheint auch zu funktionieren, sonst würde DCDiag das anzeigen.
Auf 2003 gab es ein gutes Tool namens Kerbtray.
https://social.technet.microsoft.com/wiki/contents/articles/2170.windows ...
Damit konnte man das Kerberosticket der Maschine löschen und eine Neuerstellung veranlassen.
Vielleicht hilft das ja.
Vergiss obiges...
Folgendes:
dcdiag /fix
netdiag /fix
repadmin /kcc
Da der KCC nicht sauber arbeitet, nehme ich ne kaputte Replikationstopologie an. Da sind wohl "Leichen im Keller" geblieben.
Wenn Du nur einen DC hast, wieso hat der dann immernoch anstehende Replikation invocations (wenn auch retired)?
Hattest Du, bevor Du den 2003er entfernt hast, die Replikation nochmal geprüft mit repadmin /showrepl?
War die in Ordnung?
Meine Sorge wäre, dass eventuell die Replikation irgendwann über den Jordan ging und der 2008er das nicht begriffen hat.
In Zusammenspiel mit 2003 ist "Islanding" nach wie vor ein Begriff. Auch was den Secure Channel angeht, der anscheinend broken ist.
Normalerweise würde man das so beheben:
Auf der betroffenen Maschine schaltet man den KDC-Dienst aus und bootet neu.
Dadurch wird diese gezwungen, sich mit dem KDC eines anderen DCs derselben Domäne auszutauschen.
Dann würde man das Maschinenkonto wieder zurücksetzen: netdom resetpwd /server: /userd:\ /passwordd:*
den KDC freigeben und den DC nochmal starten.
Da jetzt hier nur noch einer da ist, wird die Sache interessant.
Die Maschine muss sich an ihrem eigenen AD-Dienst anmelden. Das scheint auch zu funktionieren, sonst würde DCDiag das anzeigen.
Auf 2003 gab es ein gutes Tool namens Kerbtray.
https://social.technet.microsoft.com/wiki/contents/articles/2170.windows ...
Damit konnte man das Kerberosticket der Maschine löschen und eine Neuerstellung veranlassen.
Vielleicht hilft das ja.
Vergiss obiges...
Folgendes:
dcdiag /fix
netdiag /fix
repadmin /kcc
Da der KCC nicht sauber arbeitet, nehme ich ne kaputte Replikationstopologie an. Da sind wohl "Leichen im Keller" geblieben.
dcdiag /fix
+
repadmin /kcc
ausgeführt.
repadmin /kcc sagt: "Die Konsistenzprüfung auf localhost war erfolgreich".
Die errors im DCDIAG bleiben jedoch, bzw. es tauchen immer wieder neue KCCevents auf.
Hat also leider nichts geholfen...
+
repadmin /kcc
ausgeführt.
repadmin /kcc sagt: "Die Konsistenzprüfung auf localhost war erfolgreich".
Die errors im DCDIAG bleiben jedoch, bzw. es tauchen immer wieder neue KCCevents auf.
Hat also leider nichts geholfen...
Mach mal bitte folgendes:
Lösche in eventlog alle logs nachdem Du sie gespeichert hast.
dcdiag ist manchmal auch ein Schlingel und schmeißt Fehler, weil noch welche (egal wie alt) im entsprechenden eventlog stehen.
Lösche in eventlog alle logs nachdem Du sie gespeichert hast.
dcdiag ist manchmal auch ein Schlingel und schmeißt Fehler, weil noch welche (egal wie alt) im entsprechenden eventlog stehen.
@beidermachtvongreyscull:
Habe ich soeben gemacht.
Leider tauchen wieder kccevents auf, natürlich mit neuen Uhrzeiten...
Habe ich soeben gemacht.
Leider tauchen wieder kccevents auf, natürlich mit neuen Uhrzeiten...
Kannst Du mir bitte mal einen Screenshot des entsprechenden Ereignislogs schicken?
Mir geht es darum zu sehen, was vor während und nach den Fehlern passiert.
Das entsprechende Log müsste hier sein:
Anwendungs- und Dienstprotokolle --> Verzeichnisdienst.
NTDS KCC müsste hier Einträge liefern.
Mir geht es darum zu sehen, was vor während und nach den Fehlern passiert.
Das entsprechende Log müsste hier sein:
Anwendungs- und Dienstprotokolle --> Verzeichnisdienst.
NTDS KCC müsste hier Einträge liefern.
Na klaro Bittesehr...
Und erstmal danke für deine Hilfe und Mühe!
Bittesehr...Und erstmal danke für deine Hilfe und Mühe!
Du brauchst nicht zu danken.
Ich helfe gerne.
Ein Kollege hat hier
https://social.technet.microsoft.com/Forums/windows/en-US/95e6c5ca-a8fe- ...
etwas interessantes erwähnt.
Er empfiehlt eine semantische Datenbankanalyse.
Aus dem Threadverlauf hat sich ergeben, dass Du einen DC mit /force aus der Domäne heraushebeln musstest.
In Bezug auf diesen Fall in Kombination mit dem Fehler des Eventlogs, halte ich es zurzeit für wahrscheinlich, dass da wirklich Rückstände übrig geblieben sind, an die die Tools so nicht herankommen.
Der Kollege empfiehlt diesen Link:
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx
Ich halte das für schlüssig, muss Dich aber warnen.
Wenn Du den ntds-Dienst herunterfährst, funktioniert Dein AD erstmal nicht mehr.
Ob dieser Beitrag in einer Domäne machbar ist, die nur einen Controller hat, ist fraglich, das gebe ich zu.
Ich wage mal vorsichtig die Behauptung, dass Deine Domäne zwar fehlerhaft läuft, aber sie läuft.
Die wichtigsten Dienste scheinen ja ihre Arbeit zu machen und wenn Du einen Exchange im Rennen hast und der sich bisher nicht beschwert hat (schau mal bitte in dessen Logs!), ist das ein recht gutes Zeichen.
Mach Dir bitte auch mal den Spass mit repadmin /showrepl
Lass mich wissen, was bei DSA-Optionen steht.
Ergänzung
Es gibt einen Hotfix für einen speziellen Fall, der aber auch Deine Fehlernummer betrifft:
https://support.microsoft.com/en-us/help/2413670/events-1659--1481--and- ...
Lt Beschreibung ist das auch möglich.
Ein 2008er verbleibt als letzter DC in der Domäne und spuckt dann Fehler aus.
Auf die "Semantic Database Analysis" bin ich auch gestern Abend noch gestoßen & hatte das ganze mal ausgeführt.
Leider hat dies meinen Fehler nicht behoben...
Also repadmin /showrepl gibt als DSA-Option "IS_GC" aus.
Was bedeutet das ?...
Das mit dem Hotfix werde ich gleich mal testen ;)
Leider hat dies meinen Fehler nicht behoben...
Also repadmin /showrepl gibt als DSA-Option "IS_GC" aus.
Was bedeutet das ?...
Das mit dem Hotfix werde ich gleich mal testen ;)
Das bedeutet, dass Dein AD soweit normal arbeitet und die Datenbank für den Betrieb in Ordnung ist.
Wäre das nicht der Fall, hättest Du hier andere Optionen drin stehen z.B. disable_inbound_repl disable_outbound_repl.
IS_GC bedeutet, dass der DC sich selbst als Globalen Katalog sieht und auch so propagiert. Das ist OK.
Es scheint wirklich nur noch im Bereich der Topologie ein Problem zu geben.
Vielleicht hilft der Patch ja.
Manchmal sieht die Software Probleme, wo keine sind.
Okay Hotfix kann ich leider nicht installieren..
"Die Software ist nicht für ihren Computer geeignet" ist die Meldung, die dann kommt...
"Die Software ist nicht für ihren Computer geeignet" ist die Meldung, die dann kommt...
Stimmt den die Voraussetzung?
Windows 2008 R2 SP1 x86/x64
Windows 2008 R2 SP1 x86/x64
Ja.
Server 2008 R2 SP1 64Bit.
Server 2008 R2 SP1 64Bit.
Ich habe vielleicht einen neuen Ansatzpunkt...
Habe gerade mal NTFRSUTL ds ausgeführt...
Ergebnis:
Habe gerade mal NTFRSUTL ds ausgeführt...
Ergebnis:
NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
FRS DomainControllerName: (null)
Computer Name : domaene-DC04
Computer DNS Name : domaene-dc04.domaene.lan
BINDING TO THE DS:
ldap_connect : domaene-dc04.domaene.lan
DsBind : domaene-dc04.domaene.lan
NAMING CONTEXTS:
SitesDn : CN=Sites,cn=configuration,dc=domaene,dc=lan
ServicesDn : CN=Services,cn=configuration,dc=domaene,dc=lan
DefaultNcDn: DC=domaene,DC=lan
ComputersDn: CN=Computers,DC=domaene,DC=lan
DomainCtlDn: OU=Domain Controllers,DC=domaene,DC=lan
Fqdn : CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan
Searching : Fqdn
COMPUTER: domaene-DC04
DN : cn=domaene-dc04,ou=domain controllers,dc=domaene,dc=lan
Guid : 97e502fe-b0ac-4265-a4d238c17f437f73
UAC : 0x00082000
Server BL : CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
Settings : cn=ntds settings,cn=domaene-dc04,cn=servers,cn=standardname-des-ersten-standorts,cn=sites,cn=configuration,dc=domaene,dc=lan
DNS Name : domaene-dc04.domaene.lan
WhenCreated : 10/26/2011 20:52:53 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
WhenChanged : 8/7/2017 14:25:30 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
SUBSCRIPTION: NTFRS SUBSCRIPTIONS
DN : cn=ntfrs subscriptions,cn=domaene-dc04,ou=domain controllers,dc=domaene,dc=lan
Guid : f411b3c4-f25a-49b9-a1f85221c79e8b4d
Working : c:\windows\ntfrs
Actual Working: c:\windows\ntfrs
WhenCreated : 10/26/2011 20:55:23 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
WhenChanged : 10/26/2011 20:55:23 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
DN : cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn=domaene-dc04,ou=domain controllers,dc=domaene,dc=lan
Guid : 985b407a-2119-4cd6-937c944241c653d8
Member Ref: (null)
Root : c:\windows\sysvol\domain
Stage : c:\windows\sysvol\staging\domain
WhenCreated : 10/26/2011 20:55:23 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
WhenChanged : 10/26/2011 20:55:23 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
domaene-DC04 IS NOT A MEMBER OF ANY SET!
Falls Du Dich über die letzte Zeile wunderst...
Das ist aus meiner Sicht normal.
Der File Replication Dienst hat ja nur was zu tun, wenn mehr als ein DC eingerichtet ist.
Dann werden dort sogenannte ReplicaSets angemeldet und bedient.
Bei nur einem DC ist dieser Dienst fast schon Makulatur.
Hättest Du ernsthafte Probleme am NTFRS würde dieser das Heraufstufen zum Domänencontroller nach einem Neustart nämlich verhindern.
Wenn er das nicht tut, ist das ein gutes Zeichen.
Müsste im Systemlog auch aufgeführt sein.
Das ist aus meiner Sicht normal.
Der File Replication Dienst hat ja nur was zu tun, wenn mehr als ein DC eingerichtet ist.
Dann werden dort sogenannte ReplicaSets angemeldet und bedient.
Bei nur einem DC ist dieser Dienst fast schon Makulatur.
Hättest Du ernsthafte Probleme am NTFRS würde dieser das Heraufstufen zum Domänencontroller nach einem Neustart nämlich verhindern.
Wenn er das nicht tut, ist das ein gutes Zeichen.
Müsste im Systemlog auch aufgeführt sein.
Hm konkret hatte mich folgende Zeile verwundert:
Aber gut, wenn du sagst das ist normal okay..
Jetzt ist aber die Frage, wie geht es weiter ??
Scheinbar greifen ja irgendwelche Dienste auf Objekte im AD zu, die es nicht gibt.
(NO_OBJECT).
Kann ich denn irgendwie herausfinden, um welche Objekte es sich da genau handelt und ggf. so zu einer Lösung zu kommen... ?
FRS DomainControllerName: (null) Aber gut, wenn du sagst das ist normal okay..
Jetzt ist aber die Frage, wie geht es weiter ??
Scheinbar greifen ja irgendwelche Dienste auf Objekte im AD zu, die es nicht gibt.
(NO_OBJECT).
Kann ich denn irgendwie herausfinden, um welche Objekte es sich da genau handelt und ggf. so zu einer Lösung zu kommen... ?
Schau mal hier:
https://blogs.technet.microsoft.com/askds/2008/10/31/troubleshooting-kcc ...
Ich nehme immer noch an, dass da irgendwas schiefgelaufen ist.
Seien es
Es scheint ihm aus irgendeinem Grund nicht klar zu sein, dass er der einzige DC ist.
DCDIAG meldet, er ist ein DC und er ist ok (Soweit)
So auch:
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ....
NACHTRAG
https://blogs.technet.microsoft.com/markmoro/2011/08/05/you-are-not-smar ...
Schau mal vorsichtig mit ADSI-Edit in die Configurations-Partition vom AD. (ist hier im Text mittig erwähnt).
Sind da noch Reste eines Replikationspartners von Deinem jetzigen DC zu sehen?
NACHTRAG 2
https://www.safaribooksonline.com/library/view/active-directory-cookbook ...
MIt Verweis auf obigen Link:
Schau mal unter AD Sites and Services.
Hast Du neben Deiner eigentlichen Site noch eine definiert?
https://blogs.technet.microsoft.com/askds/2008/10/31/troubleshooting-kcc ...
Ich nehme immer noch an, dass da irgendwas schiefgelaufen ist.
Seien es
- Rückstände im AD
- Rückstände im DNS
Es scheint ihm aus irgendeinem Grund nicht klar zu sein, dass er der einzige DC ist.
DCDIAG meldet, er ist ein DC und er ist ok (Soweit)
So auch:
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ....
NACHTRAG
https://blogs.technet.microsoft.com/markmoro/2011/08/05/you-are-not-smar ...
Schau mal vorsichtig mit ADSI-Edit in die Configurations-Partition vom AD. (ist hier im Text mittig erwähnt).
Sind da noch Reste eines Replikationspartners von Deinem jetzigen DC zu sehen?
NACHTRAG 2
https://www.safaribooksonline.com/library/view/active-directory-cookbook ...
MIt Verweis auf obigen Link:
Schau mal unter AD Sites and Services.
Hast Du neben Deiner eigentlichen Site noch eine definiert?
Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..
EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..
EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?
Zitat von @geforce28:
Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..
Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..
Glaub mir, mir gehen auch die Ideen aus. Was mich einfach wundert ist, dass der Schlingel den Patch nicht fressen wollte.
Entweder ist der in einem Patch oder Rollup aufgegangen, was ich mir aber nicht vorstellen kann, oder es liegt etwas anderes vor.
EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?
Nein. Lass ihn, wie er ist.
Probiere mal folgendes:
repadmin /options <DC NAME> -DISABLE_OUTBOUND_REPL
repadmin /options <DC NAME> -DISABLE_INBOUND_REPL
Dies schaltet die Replication Deines DCs aus.
Du siehst es, wenn Du einfach dann repadmin /showreps eingibst in den DSA-Optionen.
Wenn Du dann in die Eventlog schaust, sollten ein paar neue KCC Warnings 1113,1115 auftauchen.
Mich würde interessieren, ob der KCC-Fehler 1481 dann verschwindet.
NACHTRAG
Schau mal bitte noch nach, ob
HKLM\System\CurrentControlSet\Services\NTDS\Parameters
einen Parameter namens "DSA Not Writable" (REG_DWORD) drin hat.
NACHTRAG 2
Unter AD Sites and Services...
Wer ist der Generator für standort übergreifende Topologie?
Zum Parameter: "DSA Not Writable":
JA hat er drin, ist auf 4 gesetzt.
Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??
EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...
Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:
Leider besteht das Problem weiterhin...
JA hat er drin, ist auf 4 gesetzt.
Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??
EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...
Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:
Aktuell DSA-Optionen: IS_GC
Neu DSA-Optionen: IS_GCLeider besteht das Problem weiterhin...
Das ist schlecht!
Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??
Active Directory Sites and Services --> Rechtsklick auf die NTDS Settings der Site.
EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...
Hoffentlich hast Du NICHT alles durchgeführt.
Denn da sind Überlegungen notwendig, warum Dein letzter verbliebener DC seine AD-Datenbank schreibgeschützt hat!
Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:
> Aktuell DSA-Optionen: IS_GC
> Neu DSA-Optionen: IS_GC
> Das ist ok. Er hat nichts zum replizieren und setzt deswegen diese Optionen auch nicht.
Leider besteht das Problem weiterhin...
Nach einem Neustart kann das normal sein. Wichtig ist, jetzt alle eventlogs im Auge zu behalten und schauen, welche Fehler noch hinein gespült werden.
Wenn nach wie vor alles läuft und "DSA not writeable" nicht mehr mit dem Wert 0x4 (besser eigentlich wenn gar nicht mehr) in der Registry auftaucht, dann ist das schon mal ein ganz gutes Zeichen.
Wie gesagt, das was unter: "Single-DC Procedure" steht, habe ich alles durchgeführt.
Aber scheint noch alles so zu ticken wie es soll. Exchange läuft jedenfalls reibungslos nach der Aktion.
Die Fehler im Eventlog erscheinen aber immer noch.
DSA not writable ist bisher nicht mehr in der Registry aufgetaucht
Der domaene-dc04 ist auch der Generator der Site, habe ich eben nachgeschaut.
Aber scheint noch alles so zu ticken wie es soll. Exchange läuft jedenfalls reibungslos nach der Aktion.
Die Fehler im Eventlog erscheinen aber immer noch.
DSA not writable ist bisher nicht mehr in der Registry aufgetaucht
Der domaene-dc04 ist auch der Generator der Site, habe ich eben nachgeschaut.
Mach bitte nochmal einen Metadata Clean mit ntdsutil und dann einen Semantikcheck
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx
Hatte ich gestern schon gemacht, aber jetzt nochmal.
Keine Verbesserung & scheinbar auch keine Fehler.
Keine Verbesserung & scheinbar auch keine Fehler.
Halt die Sache mal einfach im Auge.
Vielleicht wächst sich der Fehler auch jetzt aus und verschwindet, wo "DSA not writeable" raus ist.
Noch etwas:
Lass mich mal wissen, in welchen Abständen dieser Fehler auftaucht und ob zeitgleich noch im Systemlog einer erscheint.
Ich muss gestehen, ich weiß zur Zeit auch nicht weiter.
Vielleicht wächst sich der Fehler auch jetzt aus und verschwindet, wo "DSA not writeable" raus ist.
Noch etwas:
Lass mich mal wissen, in welchen Abständen dieser Fehler auftaucht und ob zeitgleich noch im Systemlog einer erscheint.
Ich muss gestehen, ich weiß zur Zeit auch nicht weiter.
Hm, ja so richtig wohl ist mir nicht bei dem Gedanken....
Ja der Fehler taucht alle 5 Minuten im Eventlog auf.
Im Systemlog ist nichts zeitgleiches.
Ja der Fehler taucht alle 5 Minuten im Eventlog auf.
Im Systemlog ist nichts zeitgleiches.
Ich habe das hier "https://community.spiceworks.com/topic/215890-domain-totally-screwed-i-need-some-major-help" gefunden. Die Situation und das Fehlerbild sind sehr ähnlich zu Deinem.
Ansonsten hilft im Regelfall:
dcdiag /fix
netdiag /fix
repadmin /kcc
Ansonsten hilft im Regelfall:
dcdiag /fix
netdiag /fix
repadmin /kcc
Mh, ja aber das haben wir ja alles schon erfolglos durch...
Schau mal bitte nach folgendem:
https://support.microsoft.com/de-de/help/314980/how-to-configure-active- ...
Ich habe den Verdacht, dass da jemand das Debug-Logging angesschaltet hat.
Es gibt Fehler und Warnungen und Informationen, die auf sog. internal Events im AD zurückgehen und nicht immer relevant sind.
Diese sind standardmäßig ausgeblendet oder werden gar nicht geloggt.
Ich bin nämlich fast der Meinung, dass Du den Fehler ignorieren kannst, wenn zutrifft, was ich vermute.
https://support.microsoft.com/de-de/help/314980/how-to-configure-active- ...
Ich habe den Verdacht, dass da jemand das Debug-Logging angesschaltet hat.
Es gibt Fehler und Warnungen und Informationen, die auf sog. internal Events im AD zurückgehen und nicht immer relevant sind.
Diese sind standardmäßig ausgeblendet oder werden gar nicht geloggt.
Ich bin nämlich fast der Meinung, dass Du den Fehler ignorieren kannst, wenn zutrifft, was ich vermute.
Bingo !!
Alles auf 0 gesetzt (ist ja Standard oder ?)
Und jetzt tauchen überhaupt keine Events mehr unter "Verzeichnisdienst" auf...
Alles auf 0 gesetzt (ist ja Standard oder ?)
Und jetzt tauchen überhaupt keine Events mehr unter "Verzeichnisdienst" auf...
Stand auf 5, richtig?
0 ist laut dem KB-Artikel Standard.
0 ist laut dem KB-Artikel Standard.
Jep waren sogar mehrere Sachen auf 5 ;)
OK.
Dann weiterhin alles Gute!
Bis denn.
Dann weiterhin alles Gute!
Bis denn.
Ich danke dir vielmals für deine Hilfe und Geduld !
!
