9
2. Domaincontroller W2K12R2 Probleme beim Replizieren
Guten Abend,
eventuell hat jemand eine Idee, was es sein könnte, folgendes Szenario:
Bisher die ganze Zeit im Einsatz:
1 Domaincontroller unter W2K12
Nun einen weiteren DC aufgesetzt als W2K12 R2.
Nach der Installation der Rollendienste Neustart durchgeführt.
Blick in das AD, Objekte werden regulär angezeigt, Blick in die GPO, GPO's sind da, Aktualisierungen werden prompt durchgeführt. DNS-Server hat alle Eintragungen.
Soweit so gut, dachte ich mir. Bei der GPO eine Ermittlung durchführen lassen und hier zeigt er mir an, das der 2 DC beim Replizieren hängt und nicht weiterkommt (in der Spalte Active Directory steht nur Zugriff verweigert).
Hab die Rolle DFSR nachinstalliert, in der DFS-Verwaltung stehen die Share SYSVOL von beiden DC's drin. Aber replizieren, nein da passiert nichts. Hab den Ordner SYSVOL auf beiden DC's eingesehen, der auf DC1 enthält Daten, der auf DC2 eben nicht, ist leer.
Also DCDIAG gestartet, hier erhalte ich ingesamt drei Fehlermeldungen:
1) Advertising ist fehlgeschlagen - Der Server reagier nicht oder gilt als Ungeeignet
2) DFSREvent ist fehlgeschlagen
3) Netlogons ist fehlgeschlagen
Alles andere läuft sauber durch. Was mir noch aufgefallen ist. Nach vielen Versuchen hab ich mal beide DC's nacheinander neugestartet, dabei aber festgestellt, wenn DC1 down ist, das DC2 blind und taub wird. Sprich er kann keinen nslookup mehr sauber versenden, GPO's oder AD anzeige lassen. Erst wenn DC1 wieder da ist.
Von der Installation war nichts außergewöhnliches. Nach OS update gefahren, danach die Rollen installiert und den Domänenzugang konfiguriert. Das war es schon.
Wenn also jemand eine Idee hat, was ich übersehen haben könnte, einfach mitteilen.
Grüße
Forseti
eventuell hat jemand eine Idee, was es sein könnte, folgendes Szenario:
Bisher die ganze Zeit im Einsatz:
1 Domaincontroller unter W2K12
Nun einen weiteren DC aufgesetzt als W2K12 R2.
Nach der Installation der Rollendienste Neustart durchgeführt.
Blick in das AD, Objekte werden regulär angezeigt, Blick in die GPO, GPO's sind da, Aktualisierungen werden prompt durchgeführt. DNS-Server hat alle Eintragungen.
Soweit so gut, dachte ich mir. Bei der GPO eine Ermittlung durchführen lassen und hier zeigt er mir an, das der 2 DC beim Replizieren hängt und nicht weiterkommt (in der Spalte Active Directory steht nur Zugriff verweigert).
Hab die Rolle DFSR nachinstalliert, in der DFS-Verwaltung stehen die Share SYSVOL von beiden DC's drin. Aber replizieren, nein da passiert nichts. Hab den Ordner SYSVOL auf beiden DC's eingesehen, der auf DC1 enthält Daten, der auf DC2 eben nicht, ist leer.
Also DCDIAG gestartet, hier erhalte ich ingesamt drei Fehlermeldungen:
1) Advertising ist fehlgeschlagen - Der Server reagier nicht oder gilt als Ungeeignet
2) DFSREvent ist fehlgeschlagen
3) Netlogons ist fehlgeschlagen
Alles andere läuft sauber durch. Was mir noch aufgefallen ist. Nach vielen Versuchen hab ich mal beide DC's nacheinander neugestartet, dabei aber festgestellt, wenn DC1 down ist, das DC2 blind und taub wird. Sprich er kann keinen nslookup mehr sauber versenden, GPO's oder AD anzeige lassen. Erst wenn DC1 wieder da ist.
Von der Installation war nichts außergewöhnliches. Nach OS update gefahren, danach die Rollen installiert und den Domänenzugang konfiguriert. Das war es schon.
Wenn also jemand eine Idee hat, was ich übersehen haben könnte, einfach mitteilen.
Grüße
Forseti
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 274951
Url: https://administrator.de/contentid/274951
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
9 Kommentare
Neuester Kommentar
Hab die Rolle DFSR nachinstalliert, in der DFS-Verwaltung stehen die Share SYSVOL von beiden DC's drin. Aber replizieren,
nein da passiert nichts. Hab den Ordner SYSVOL auf beiden DC's eingesehen, der auf DC1 enthält Daten, der auf DC2 eben
nicht, ist leer.
Das klingt schon verdächtig. Diese Rolle sollte beim DCpromo überprüft und automatisch mit installiert werden.nein da passiert nichts. Hab den Ordner SYSVOL auf beiden DC's eingesehen, der auf DC1 enthält Daten, der auf DC2 eben
nicht, ist leer.
Alles andere läuft sauber durch. Was mir noch aufgefallen ist. Nach vielen Versuchen hab ich mal beide DC's nacheinander
neugestartet, dabei aber festgestellt, wenn DC1 down ist, das DC2 blind und taub wird. Sprich er kann keinen nslookup mehr sauber
versenden, GPO's oder AD anzeige lassen. Erst wenn DC1 wieder da ist.
Das klingt logisch, wenn der DC1 auch DNS ist und der DC2 nur den DC1 in seiner TCP/IP-Konfiguration als DNS-Server eingetragen hat. Wenn DC2 auch DNS-Server ist, dann sollte er sich dort als 1. DNS drin stehen haben und den DC1 als 2.neugestartet, dabei aber festgestellt, wenn DC1 down ist, das DC2 blind und taub wird. Sprich er kann keinen nslookup mehr sauber
versenden, GPO's oder AD anzeige lassen. Erst wenn DC1 wieder da ist.
Auf dem DC1 umgekehrt.
E.
Zitat von @emeriks:
> Hab die Rolle DFSR nachinstalliert, in der DFS-Verwaltung stehen die Share SYSVOL von beiden DC's drin. Aber
replizieren,
> nein da passiert nichts. Hab den Ordner SYSVOL auf beiden DC's eingesehen, der auf DC1 enthält Daten, der auf DC2
eben
> nicht, ist leer.
Das klingt schon verdächtig. Diese Rolle sollte beim DCpromo überprüft und automatisch mit installiert werden.
Hätte ich mir auch gedacht, aber kurioserweise, bei beiden DC's war diese Rolle nicht ausgewählt. Hab mir dann gestern abend nochmal etliche Tutorials dazu angesehen im Internet und auch da, die DSFR wird nicht automatisch angezeigt. Das nachinstallieren wäre jetzt nicht wirklich schlimm, war ja schnell erledigt, aber da es eine wichtige Funktion sein soll, war es schon merkwürdig.> Hab die Rolle DFSR nachinstalliert, in der DFS-Verwaltung stehen die Share SYSVOL von beiden DC's drin. Aber
replizieren,
> nein da passiert nichts. Hab den Ordner SYSVOL auf beiden DC's eingesehen, der auf DC1 enthält Daten, der auf DC2
eben
> nicht, ist leer.
Das klingt schon verdächtig. Diese Rolle sollte beim DCpromo überprüft und automatisch mit installiert werden.
> Alles andere läuft sauber durch. Was mir noch aufgefallen ist. Nach vielen Versuchen hab ich mal beide DC's
nacheinander
> neugestartet, dabei aber festgestellt, wenn DC1 down ist, das DC2 blind und taub wird. Sprich er kann keinen nslookup mehr
sauber
> versenden, GPO's oder AD anzeige lassen. Erst wenn DC1 wieder da ist.
Das klingt logisch, wenn der DC1 auch DNS ist und der DC2 nur den DC1 in seiner TCP/IP-Konfiguration als DNS-Server eingetragen
hat. Wenn DC2 auch DNS-Server ist, dann sollte er sich dort als 1. DNS drin stehen haben und den DC1 als 2.
Auf dem DC1 umgekehrt.
E.
Beide DC's sind DNS und gem. der BPA hab ich bei DC2 den DC1 als 1. und ihn selbst als 2. Kann ich natürlich drehen, aber wenn zwei DNS-Server drin stehen und einer wäre nicht erreichbar, müsste er doch so oder so auf die nächste Adresse springen, oder seh ich das falsch?nacheinander
> neugestartet, dabei aber festgestellt, wenn DC1 down ist, das DC2 blind und taub wird. Sprich er kann keinen nslookup mehr
sauber
> versenden, GPO's oder AD anzeige lassen. Erst wenn DC1 wieder da ist.
Das klingt logisch, wenn der DC1 auch DNS ist und der DC2 nur den DC1 in seiner TCP/IP-Konfiguration als DNS-Server eingetragen
hat. Wenn DC2 auch DNS-Server ist, dann sollte er sich dort als 1. DNS drin stehen haben und den DC1 als 2.
Auf dem DC1 umgekehrt.
E.
Hätte ich mir auch gedacht, aber kurioserweise, bei beiden DC's war diese Rolle nicht ausgewählt. Hab mir dann
gestern abend nochmal etliche Tutorials dazu angesehen im Internet und auch da, die DSFR wird nicht automatisch angezeigt. Das
nachinstallieren wäre jetzt nicht wirklich schlimm, war ja schnell erledigt, aber da es eine wichtige Funktion sein soll, war
es schon merkwürdig.
Wenn DFS-R nicht installiert war, dann muss es ja vorher mit NtFRS gelaufen sein? ich wusst gar nicht, dass das bei Win2012 noch dabei ist. Oder wurde die Domäne etwa schrittweise von Win2003 migriert?gestern abend nochmal etliche Tutorials dazu angesehen im Internet und auch da, die DSFR wird nicht automatisch angezeigt. Das
nachinstallieren wäre jetzt nicht wirklich schlimm, war ja schnell erledigt, aber da es eine wichtige Funktion sein soll, war
es schon merkwürdig.
Beide DC's sind DNS und gem. der BPA hab ich bei DC2 den DC1 als 1. und ihn selbst als 2. Kann ich natürlich drehen,
aber wenn zwei DNS-Server drin stehen und einer wäre nicht erreichbar, müsste er doch so oder so auf die nächste
Adresse springen, oder seh ich das falsch?
Das geht natürlich auch so. Bloß dann muss ich vermuten, dass der 2.DC als DNS nicht funktionstüchtig ist.aber wenn zwei DNS-Server drin stehen und einer wäre nicht erreichbar, müsste er doch so oder so auf die nächste
Adresse springen, oder seh ich das falsch?
Hast Du mal mit nslookup explizit über den 2. DC als DNS abgefragt?
Zitat von @emeriks:
> Hätte ich mir auch gedacht, aber kurioserweise, bei beiden DC's war diese Rolle nicht ausgewählt. Hab mir
dann
> gestern abend nochmal etliche Tutorials dazu angesehen im Internet und auch da, die DSFR wird nicht automatisch angezeigt.
Das
> nachinstallieren wäre jetzt nicht wirklich schlimm, war ja schnell erledigt, aber da es eine wichtige Funktion sein
soll, war
> es schon merkwürdig.
Wenn DFS-R nicht installiert war, dann muss es ja vorher mit NtFRS gelaufen sein? ich wusst gar nicht, dass das bei Win2012 noch
dabei ist. Oder wurde die Domäne etwa schrittweise von Win2003 migriert?
> Hätte ich mir auch gedacht, aber kurioserweise, bei beiden DC's war diese Rolle nicht ausgewählt. Hab mir
dann
> gestern abend nochmal etliche Tutorials dazu angesehen im Internet und auch da, die DSFR wird nicht automatisch angezeigt.
Das
> nachinstallieren wäre jetzt nicht wirklich schlimm, war ja schnell erledigt, aber da es eine wichtige Funktion sein
soll, war
> es schon merkwürdig.
Wenn DFS-R nicht installiert war, dann muss es ja vorher mit NtFRS gelaufen sein? ich wusst gar nicht, dass das bei Win2012 noch
dabei ist. Oder wurde die Domäne etwa schrittweise von Win2003 migriert?
Fast, die Domäne wurde ursprünglich mit Windows 2008 aufgesetzt, letztes Jahr wurde dann ein 2. DC aufgebaut, da noch unter Win2012. Der alte DC wurde anfang des Jahres außer Betrieb genommen und diesen Monat hab ich dann den neuen 2. DC aufgesetzt, dieser läuft dann schon unter R2. Hab auch bereits gestern die Domänenstruktur von 2008 auf 2012 hochgesetzt. Gemäß der Informationen von MS sollte aber bereits bei 2008 standardmässig DFSR genutzt werden und nicht FSR - könnte aber, wie Du schon vermutest, damit zusammenhängen.
> Beide DC's sind DNS und gem. der BPA hab ich bei DC2 den DC1 als 1. und ihn selbst als 2. Kann ich natürlich
drehen,
> aber wenn zwei DNS-Server drin stehen und einer wäre nicht erreichbar, müsste er doch so oder so auf die
nächste
> Adresse springen, oder seh ich das falsch?
Das geht natürlich auch so. Bloß dann muss ich vermuten, dass der 2.DC als DNS nicht funktionstüchtig ist.
Hast Du mal mit nslookup explizit über den 2. DC als DNS abgefragt?
Fast, die Domäne wurde ursprünglich mit Windows 2008 aufgesetzt, letztes Jahr wurde dann ein 2. DC aufgebaut, da noch
unter Win2012. Der alte DC wurde anfang des Jahres außer Betrieb genommen und diesen Monat hab ich dann den neuen 2. DC
aufgesetzt, dieser läuft dann schon unter R2. Hab auch bereits gestern die Domänenstruktur von 2008 auf 2012
hochgesetzt. Gemäß der Informationen von MS sollte aber bereits bei 2008 standardmässig DFSR genutzt werden und
nicht FSR - könnte aber, wie Du schon vermutest, damit zusammenhängen.
Das hängt mit Sicherheit zusammen. Wenn man einen DC in eine Domäne promoted, in welcher die SYSVOL-Replikation noch unter NtFRS läuft, dann wird daran auch nichts geändert, wenn man den letzten der alten DC demoted.unter Win2012. Der alte DC wurde anfang des Jahres außer Betrieb genommen und diesen Monat hab ich dann den neuen 2. DC
aufgesetzt, dieser läuft dann schon unter R2. Hab auch bereits gestern die Domänenstruktur von 2008 auf 2012
hochgesetzt. Gemäß der Informationen von MS sollte aber bereits bei 2008 standardmässig DFSR genutzt werden und
nicht FSR - könnte aber, wie Du schon vermutest, damit zusammenhängen.
Schau mal hier: SYSVOL Replication Migration Guide: FRS to DFS Replication
E.
Zitat von @emeriks:
> Fast, die Domäne wurde ursprünglich mit Windows 2008 aufgesetzt, letztes Jahr wurde dann ein 2. DC aufgebaut, da
noch
> unter Win2012. Der alte DC wurde anfang des Jahres außer Betrieb genommen und diesen Monat hab ich dann den neuen 2.
DC
> aufgesetzt, dieser läuft dann schon unter R2. Hab auch bereits gestern die Domänenstruktur von 2008 auf 2012
> hochgesetzt. Gemäß der Informationen von MS sollte aber bereits bei 2008 standardmässig DFSR genutzt werden
und
> nicht FSR - könnte aber, wie Du schon vermutest, damit zusammenhängen.
Das hängt mit Sicherheit zusammen. Wenn man einen DC in eine Domäne promoted, in welcher die SYSVOL-Replikation noch
unter NtFRS läuft, dann wird daran auch nichts geändert, wenn man den letzten der alten DC demoted.
Schau mal hier: [https://technet.microsoft.com/de-de/library/dd640019(v=ws.10).aspx SYSVOL Replication Migration Guide: FRS to DFS
Replication]
E.
> Fast, die Domäne wurde ursprünglich mit Windows 2008 aufgesetzt, letztes Jahr wurde dann ein 2. DC aufgebaut, da
noch
> unter Win2012. Der alte DC wurde anfang des Jahres außer Betrieb genommen und diesen Monat hab ich dann den neuen 2.
DC
> aufgesetzt, dieser läuft dann schon unter R2. Hab auch bereits gestern die Domänenstruktur von 2008 auf 2012
> hochgesetzt. Gemäß der Informationen von MS sollte aber bereits bei 2008 standardmässig DFSR genutzt werden
und
> nicht FSR - könnte aber, wie Du schon vermutest, damit zusammenhängen.
Das hängt mit Sicherheit zusammen. Wenn man einen DC in eine Domäne promoted, in welcher die SYSVOL-Replikation noch
unter NtFRS läuft, dann wird daran auch nichts geändert, wenn man den letzten der alten DC demoted.
Schau mal hier: [https://technet.microsoft.com/de-de/library/dd640019(v=ws.10).aspx SYSVOL Replication Migration Guide: FRS to DFS
Replication]
E.
Tja, den Guide von MS hatte ich gestern schon kurz zu fassen, was mich stutzig gemacht hat, das darin auch ausgeführt ist, das ja eigentlich die 2008er Domänen schon auf DFSR gehen. Eine 2003er hatten wir definitiv nicht Aber gut, dann acker ich mich mal durch die Migration.
Hm, also ein FSR Problem kann es scheinbar nicht sein. Den dieser wird auf den beiden DC's überhaupt nicht ausgeführt. Wenn ich das Ereignislog beider Server einseh, gibt es da keinen Eintrag für NtFRS - dieser sollte aber ja da sein, wenn das System auf FSR laufen würde.
Ungeachtet dessen, hab ich mal die dfsrmig Befehl eingetragen, erhalte dann aber sofort diese Rückmeldung:
Aktueller globaler DFSR-Status: "Entfernt"
Neuer globaler DFSR-Status: "Vorbereitet"
Es wurde eine unzulässige Statusänderung angefordert.
Nach /getmigrationstate kommt:
Alle Domänencontroller wurden erfolgreich zum globalen Status (""Entfernt"") migriert.
Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
Erfolgreich
Also irgendwie bin ich jetzt genauso nass, wie vorher.
Ungeachtet dessen, hab ich mal die dfsrmig Befehl eingetragen, erhalte dann aber sofort diese Rückmeldung:
Aktueller globaler DFSR-Status: "Entfernt"
Neuer globaler DFSR-Status: "Vorbereitet"
Es wurde eine unzulässige Statusänderung angefordert.
Nach /getmigrationstate kommt:
Alle Domänencontroller wurden erfolgreich zum globalen Status (""Entfernt"") migriert.
Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
Erfolgreich
Also irgendwie bin ich jetzt genauso nass, wie vorher.
*lach* ich hab es gelöst - da soll mal einer sagen, das MS nicht Sinn für Humor hat.
Also, falls jemand das selbe Problem haben sollte und, wie in meinem Fall sicher weiss, das der FSR nie genutzt wurde und sich eigentlich alles auf DFSR abspielen sollte, folgende Lösung:
1) Erstellt erstmal eine Sicherung vom DC - meiner umfasst ca. 23 GByte und ist in rund 5-7 Minuten gesichert, Zeit die sich lohnt.
2) Prüft nun das Ereignislog unter dem Eintrag DFS-Replikation
Durch die Sicherung löste es bei mir ein Ereignis 2013 aus - mit dem Hinweis das der DFS-Replikationsdienst unerwartet für das Volume beendet wurde und die DB nicht ordnungsgemäß heruntergefahren wurde. Praktischerweise bietet der Hinweis auch gleichzeitig ein Kommando an, das man in der Shell ausführen sollte.
3) Prüft danach wieder das Ereignislog. Nach dem Fehler 2012 wird auch im Anschluss der Fehler 4012 aufgeführt
Dieser besagt ganz pragmatisch, das mein SYSVOL seit 403 Tagen nicht repliziert wurde (welch Wunder als Standalone DC ohne DFSR-Rolle). Da damit die zulässige Wartezeit überschritten war, beendet der Replikationsdienst seine Tätigkeit, weil er davon ausgeht, das die Daten veraltet sind.
Gebt nun in die Shell folgendes ein:
wmic /namespace:\\root\microsoftdfs path dfsrmachineconfig set maxofflinetimeindays=XXX
an die Stelle der XXX ein größeres Datum in Tagen als im Log unter 4012 aufgeführt ist.
4) Startet nun den DFSR-Dienst neu
5) Prüfung: DC2 hat nun plötzlich einen replizierten SYSVOL-Ordner. Auch in der Gruppenrichtlinie wird er nun als erfolgreich replizierter DC angezeigt
6) Setzt im Anschluß die Dauer wieder auf einen normalen Wert.
Eventuell gibt es einen eleganteren Weg, aber zumindest hat es funktioniert. Nun geh ich das DNS Problem an.
Also, falls jemand das selbe Problem haben sollte und, wie in meinem Fall sicher weiss, das der FSR nie genutzt wurde und sich eigentlich alles auf DFSR abspielen sollte, folgende Lösung:
1) Erstellt erstmal eine Sicherung vom DC - meiner umfasst ca. 23 GByte und ist in rund 5-7 Minuten gesichert, Zeit die sich lohnt.
2) Prüft nun das Ereignislog unter dem Eintrag DFS-Replikation
Durch die Sicherung löste es bei mir ein Ereignis 2013 aus - mit dem Hinweis das der DFS-Replikationsdienst unerwartet für das Volume beendet wurde und die DB nicht ordnungsgemäß heruntergefahren wurde. Praktischerweise bietet der Hinweis auch gleichzeitig ein Kommando an, das man in der Shell ausführen sollte.
3) Prüft danach wieder das Ereignislog. Nach dem Fehler 2012 wird auch im Anschluss der Fehler 4012 aufgeführt
Dieser besagt ganz pragmatisch, das mein SYSVOL seit 403 Tagen nicht repliziert wurde (welch Wunder als Standalone DC ohne DFSR-Rolle). Da damit die zulässige Wartezeit überschritten war, beendet der Replikationsdienst seine Tätigkeit, weil er davon ausgeht, das die Daten veraltet sind.
Gebt nun in die Shell folgendes ein:
wmic /namespace:\\root\microsoftdfs path dfsrmachineconfig set maxofflinetimeindays=XXX
an die Stelle der XXX ein größeres Datum in Tagen als im Log unter 4012 aufgeführt ist.
4) Startet nun den DFSR-Dienst neu
5) Prüfung: DC2 hat nun plötzlich einen replizierten SYSVOL-Ordner. Auch in der Gruppenrichtlinie wird er nun als erfolgreich replizierter DC angezeigt
6) Setzt im Anschluß die Dauer wieder auf einen normalen Wert.
Eventuell gibt es einen eleganteren Weg, aber zumindest hat es funktioniert. Nun geh ich das DNS Problem an.
Top! Danke für die Rückmeldung!
