22
2x MS Server 2003 Replikationsfehler
Ahoi liebe Administratoren,
ich habe ein Problem mit zwei Servern. Auf beiden ist MS Windows 2003 Server installiert und eine VPN-Verbindung verbindet die beiden Server. Ich habe die Server nicht eingerichtet, verstehe also Sinn und Zweck dieser Verbindung nicht. Naja, wie auch immer, beide Server haben sich gefunden und konnten somit (anscheinend) replizieren. Seit ein paar Tagen funktioniert das nicht mehr! Da sich die clients auf dem zweiten Server (wahrscheinlich deswegen) nicht mehr an den Netzlaufwerken anmelden können, ist das ein großes Problem.
PING von S1:
- auf S2 mit IP = ok
- auf S2 mit Host = ok
- auf S2 mit global = ok
DNS Manager S1:
- Verbindung zu S1 = ok
- Verbindung zu S1 = ok
PING von S2:
- auf S1 mit IP = ok
- auf S1 mit Host = nicht gefunden
- auf S1 mit global = nicht gefunden
DNS Manager S2:
- Verbindung zu S2 = ok
- Verbindung zu S1 = nicht gefunden
Mit replmon habe ich den AD Replication Monitor auf S1 aufgerufen (das ist überigens auf dem S2 nicht möglich!). Dieser zeigt mir folgenden Fehler an:
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
Die Ereignisanzeige des Server S2 überschlagen sich bezüglich der DNS-Ereignisse.
Diverse Warnings mit:
Der DNS-Server konnte das Active Directory nicht öffnen. Dieser DNS-Server wurde für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff zu dem Verzeichnis nicht fehlerfrei ausgeführt werden. Der DNS-Server wird so lange angehalten, bis das Verzeichnis gestartet wird. Sollte der Server gestartet worden sein und das entsprechende Ereignis ist nicht protokolliert worden, dann wartet der Server weiterhin darauf, dass das Verzeichnis gestartet wird.
Diverse Fehler mit:
Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.
Ich verstehe nicht, warum das Ganze auf einmal nicht mehr funktioniert und ich weiß nicht, wo ich anfangen soll. Ich hoffe, ihr könnt mir weiterhelfen. So ein großes Problem kann es doch eigentlich nicht sein!?
Was ich bewusst gemacht habe bzw. mitbekommen habe:
- Netzlaufwerke und Drucker per Batchdateien im Verzeichnis NETLOGON geändert.
- Der S1 hat automatische Updates gemacht.
thx & gruß
tox
ich habe ein Problem mit zwei Servern. Auf beiden ist MS Windows 2003 Server installiert und eine VPN-Verbindung verbindet die beiden Server. Ich habe die Server nicht eingerichtet, verstehe also Sinn und Zweck dieser Verbindung nicht. Naja, wie auch immer, beide Server haben sich gefunden und konnten somit (anscheinend) replizieren. Seit ein paar Tagen funktioniert das nicht mehr! Da sich die clients auf dem zweiten Server (wahrscheinlich deswegen) nicht mehr an den Netzlaufwerken anmelden können, ist das ein großes Problem.
PING von S1:
- auf S2 mit IP = ok
- auf S2 mit Host = ok
- auf S2 mit global = ok
DNS Manager S1:
- Verbindung zu S1 = ok
- Verbindung zu S1 = ok
PING von S2:
- auf S1 mit IP = ok
- auf S1 mit Host = nicht gefunden
- auf S1 mit global = nicht gefunden
DNS Manager S2:
- Verbindung zu S2 = ok
- Verbindung zu S1 = nicht gefunden
Mit replmon habe ich den AD Replication Monitor auf S1 aufgerufen (das ist überigens auf dem S2 nicht möglich!). Dieser zeigt mir folgenden Fehler an:
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht fortgesetzt werden.
Die Ereignisanzeige des Server S2 überschlagen sich bezüglich der DNS-Ereignisse.
Diverse Warnings mit:
Der DNS-Server konnte das Active Directory nicht öffnen. Dieser DNS-Server wurde für die Verwendung von Verzeichnisdienstinformationen konfiguriert und kann ohne Zugriff zu dem Verzeichnis nicht fehlerfrei ausgeführt werden. Der DNS-Server wird so lange angehalten, bis das Verzeichnis gestartet wird. Sollte der Server gestartet worden sein und das entsprechende Ereignis ist nicht protokolliert worden, dann wartet der Server weiterhin darauf, dass das Verzeichnis gestartet wird.
Diverse Fehler mit:
Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.
Ich verstehe nicht, warum das Ganze auf einmal nicht mehr funktioniert und ich weiß nicht, wo ich anfangen soll. Ich hoffe, ihr könnt mir weiterhelfen. So ein großes Problem kann es doch eigentlich nicht sein!?
Was ich bewusst gemacht habe bzw. mitbekommen habe:
- Netzlaufwerke und Drucker per Batchdateien im Verzeichnis NETLOGON geändert.
- Der S1 hat automatische Updates gemacht.
thx & gruß
tox
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 187326
Url: https://administrator.de/contentid/187326
Ausgedruckt am: 26.11.2024 um 07:11 Uhr
22 Kommentare
Neuester Kommentar
Hallo ist s1 auch dns Server ?
MfG
Marcel
MfG
Marcel
Hallo Marcel,
wie finde ich das heraus?
Im DNS Manager auf S1 sind beide Server aufgeführt. Auf S2 nur S2.
Wolltest Du das wissen?
gruß
tox
wie finde ich das heraus?
Im DNS Manager auf S1 sind beide Server aufgeführt. Auf S2 nur S2.
Wolltest Du das wissen?
gruß
tox
Hello again,
noch zur Info:
Ich habe gerade im DNS Manager von S2 alle Server gelöscht und versucht, den S1 mit Namen zu finden. Negativ!
Verwende ich die IP, dann funktioniert es.
Gruß
noch zur Info:
Ich habe gerade im DNS Manager von S2 alle Server gelöscht und versucht, den S1 mit Namen zu finden. Negativ!
Verwende ich die IP, dann funktioniert es.
Gruß
Ich würde hier den DNS einfach neu machen und den DNS wieder als AD integriert installieren.
Dann würde ich schauen das in den eigenschaften der Netzwerkkarten der Server die Richtigen DNS stehen und nochmal versuchen zu replizieren.
LG
Dann würde ich schauen das in den eigenschaften der Netzwerkkarten der Server die Richtigen DNS stehen und nochmal versuchen zu replizieren.
LG
Hallo Ausserwoeger,
ich denke, Du meinst nicht das Löschen der DNS-Server im DNS-Manager, oder!?
Das hat nämlich irgendwie keinen Effekt.
Wenn ich den bzw. die Server wieder verbinde, werden die alten Daten wieder eingetragen.
Wenn es um AD und installieren geht, habe ich immer Panik, dass irgendwelche Daten bzw. alles gelöscht wird.
Was meinst Du genau und wie ist das einzuleiten?
In den Netzwerkkarten des Server S1 und S2 steht eine IP und zwar die des Servers, also S1 = S1 und S2 = S2.
ich denke, Du meinst nicht das Löschen der DNS-Server im DNS-Manager, oder!?
Das hat nämlich irgendwie keinen Effekt.
Wenn ich den bzw. die Server wieder verbinde, werden die alten Daten wieder eingetragen.
Wenn es um AD und installieren geht, habe ich immer Panik, dass irgendwelche Daten bzw. alles gelöscht wird.
Was meinst Du genau und wie ist das einzuleiten?
In den Netzwerkkarten des Server S1 und S2 steht eine IP und zwar die des Servers, also S1 = S1 und S2 = S2.
ok als scheint s1 auch dns server zu sein..
schau mal nach den srv einträgen im dns Forward - deine domäne - _msdcs dc _site ...
stehen da für beide dc's einträge drin?
was für fehler ereignise bekommst du im dns (globale Protokolle dns ereignisse)
schau mal nach den srv einträgen im dns Forward - deine domäne - _msdcs dc _site ...
stehen da für beide dc's einträge drin?
was für fehler ereignise bekommst du im dns (globale Protokolle dns ereignisse)
Morgen Marcel,
wenn ich auf S1 im DNS Manager bin, sehe ich in _msdcs.domain.global jeweils zwei Einträge. Für S1 und S2:
Alias (CNAME), Namenserver (NS). Unter Autoritätsursprung steht nur der S1.
Heißt das, der S1 ist der (einzige) DNS???
Ich weiß nicht, ob es globale DNS-Ereignisse sind, aber auf dem S1 gibt es nur eine Warnung:
Fehler 4515
Die Zone "domain.global" wurde bereits von der Verzeichnispartition "MicrosoftDNS" geladen, aber eine neue Kopie der Zone wurde in der Verzeichnispartition "DomainDnsZones.domain.global" gefunden. Der DNS-Server wird diese neue Kopie der Zone ignorieren. Beheben Sie diesen Konflikt so bald wie möglich.
Auf dem S2 ist eine Menge von Fehlern 4000 und 4013 aufgeführt.
Falls es wichtig ist:
- Unter dem _msdcs.domain.global in den Forward-Lookupzonen ist noch folgender Eintrag zu sehen:
domain.global
- Im DNS Manager des S1 kann ich mich auch mit S2 verbinden. Der wird zwar aufgeführt, es sind aber keine Zonen eingetragen.
So weit ich weiß, war das mal anders.
Verständnisfrage:
Ich habe hier nun zwei Server, die über VPN miteinander verbunden sind. Aber kann es sein, dass der zweite so dermaßen von ersten Server abhängt, dass bei einer Störung der Internetverbindung oder bei einem jetzt vorhandenen Problem beim zweiten Server so gut, wie gar nichts mehr geht? Jeder sollte doch auch autark laufen, sonst macht das Ganze doch keinen Sinn, oder!?
Naja, ich hoffe, dass wir erstmal die Replikation wieder hin kriegen.
Übrigens, erstmal vielen Dank für eure Hilfe.
tox
wenn ich auf S1 im DNS Manager bin, sehe ich in _msdcs.domain.global jeweils zwei Einträge. Für S1 und S2:
Alias (CNAME), Namenserver (NS). Unter Autoritätsursprung steht nur der S1.
Heißt das, der S1 ist der (einzige) DNS???
Ich weiß nicht, ob es globale DNS-Ereignisse sind, aber auf dem S1 gibt es nur eine Warnung:
Fehler 4515
Die Zone "domain.global" wurde bereits von der Verzeichnispartition "MicrosoftDNS" geladen, aber eine neue Kopie der Zone wurde in der Verzeichnispartition "DomainDnsZones.domain.global" gefunden. Der DNS-Server wird diese neue Kopie der Zone ignorieren. Beheben Sie diesen Konflikt so bald wie möglich.
Auf dem S2 ist eine Menge von Fehlern 4000 und 4013 aufgeführt.
Falls es wichtig ist:
- Unter dem _msdcs.domain.global in den Forward-Lookupzonen ist noch folgender Eintrag zu sehen:
domain.global
- Im DNS Manager des S1 kann ich mich auch mit S2 verbinden. Der wird zwar aufgeführt, es sind aber keine Zonen eingetragen.
So weit ich weiß, war das mal anders.
Verständnisfrage:
Ich habe hier nun zwei Server, die über VPN miteinander verbunden sind. Aber kann es sein, dass der zweite so dermaßen von ersten Server abhängt, dass bei einer Störung der Internetverbindung oder bei einem jetzt vorhandenen Problem beim zweiten Server so gut, wie gar nichts mehr geht? Jeder sollte doch auch autark laufen, sonst macht das Ganze doch keinen Sinn, oder!?
Naja, ich hoffe, dass wir erstmal die Replikation wieder hin kriegen.
Übrigens, erstmal vielen Dank für eure Hilfe.
tox
Also so wie das für mich aussieht ist der DNS auf S2 defekt. Und der Server S1 macht eine Fehlermeldung weil S2 im AD einen eigenen DNS angelegt hat.
Ich würde den DNS von S2 einfach entfernen die einträge auf dem S1 kontrollieren so wie hier beschrieben:
http://technet.microsoft.com/de-de/library/cc780704(v=ws.10)
Und dann den DNS auf S2 neu einrichten. Da schon ein AD integrierter von S1 vorhanden ist sollte der DNS sofort von S1 replizert werden.
Da beide Server nur über VPN verbunden sind ist es sinnvoll beim DNS auch die Öffenlichen DNS der Internetanbindung anzugeben um den Internetzugang der Clients und des Servers zu sichern wenn der VPN tunnel nicht verfügbar ist.
Solltest du das Problem mit der Replikation nicht in den griff bekommen würde ich mich an einen lokalen IT Dienstleister wenden.
LG
Ich würde den DNS von S2 einfach entfernen die einträge auf dem S1 kontrollieren so wie hier beschrieben:
http://technet.microsoft.com/de-de/library/cc780704(v=ws.10)
Und dann den DNS auf S2 neu einrichten. Da schon ein AD integrierter von S1 vorhanden ist sollte der DNS sofort von S1 replizert werden.
Da beide Server nur über VPN verbunden sind ist es sinnvoll beim DNS auch die Öffenlichen DNS der Internetanbindung anzugeben um den Internetzugang der Clients und des Servers zu sichern wenn der VPN tunnel nicht verfügbar ist.
Solltest du das Problem mit der Replikation nicht in den griff bekommen würde ich mich an einen lokalen IT Dienstleister wenden.
LG
Naja, ich würde es schon gerne "alleine" schaffen. Schließlich möchte ich noch etwas dazu lernen. 
Wenn Du bzw. ihr von "DNS entfernen" redet, dann meint ihr das Entfernen der aufgeführten DCs im DNS-Manager (dnsmgmt), oder!?
Ich frage, weil ich sie dort nach Belieben entfernen kann, aber keine Option habe einen neuen zu erstellen, sondern nur zu verbinden.
Leider wird beim Link kein Inhalt gefunden.
Der Internetzugang funktioniert unabhängig voneinander. Beide Server haben einen eigenen Router mit entsprechendem Account (wie soll's auch anders gehen! ).
Der einzige Unterschied zwischen den beiden Server ist, dass S2 kein Exchange hat. Ich denke mal, dass das auch der Grund ist, warum diese Server miteinander verbunden sein müssen. Normalerweise könnte ich doch jeden DC seinen eigenen DNS zuordnen und gut ist, oder wie seht ihr das?
thx
tox
Wenn Du bzw. ihr von "DNS entfernen" redet, dann meint ihr das Entfernen der aufgeführten DCs im DNS-Manager (dnsmgmt), oder!?
Ich frage, weil ich sie dort nach Belieben entfernen kann, aber keine Option habe einen neuen zu erstellen, sondern nur zu verbinden.
Leider wird beim Link kein Inhalt gefunden.
Der Internetzugang funktioniert unabhängig voneinander. Beide Server haben einen eigenen Router mit entsprechendem Account (wie soll's auch anders gehen!
).Der einzige Unterschied zwischen den beiden Server ist, dass S2 kein Exchange hat. Ich denke mal, dass das auch der Grund ist, warum diese Server miteinander verbunden sein müssen. Normalerweise könnte ich doch jeden DC seinen eigenen DNS zuordnen und gut ist, oder wie seht ihr das?
thx
tox
Das hier sollte nicht zu einem IT-Kurs ausarten !! Dieses Forum bietet Hilfestellung bei Problemen und keine Kurse.
1.) Nein nicht aus dem DNS Manager entfernen sondern die Rolle DNS deinstallieren und neu installieren.
2.) den link hab ich erneuert. leider musst du manuell eine ) am schluss des links hinzufügen die wird nicht übernommen wenn man drauf klickt ka wieso.
3.) Ich meinte auch das du im DNS eine Weiterleitung auf die Providerdns eintragen sollst falls der tunnel nicht geht damit nicht gleich die ganze Aussenstelle ohne DNS ist und somit ohne Internet !!!
LG
1.) Nein nicht aus dem DNS Manager entfernen sondern die Rolle DNS deinstallieren und neu installieren.
2.) den link hab ich erneuert. leider musst du manuell eine ) am schluss des links hinzufügen die wird nicht übernommen wenn man drauf klickt ka wieso.
3.) Ich meinte auch das du im DNS eine Weiterleitung auf die Providerdns eintragen sollst falls der tunnel nicht geht damit nicht gleich die ganze Aussenstelle ohne DNS ist und somit ohne Internet !!!
LG
Da hast Du (leider) völlig recht!
Also, die Neuinstallation des DNS auf S2 hat schon mal etwas gebracht. Die Einstellungen des S1 schaue ich mir gerade an.
Nebenbei habe ich AD Replikation Monitor auf S1 laufen und siehe da, zwei Einträge sind schon mal nicht mehr mit einem roten Kreuz versehen.
Wenn ich die Replikation allerdings forciere, bekomme ich eine Fehlermeldung, die besagt, das AD nicht replizieren kann, weil die Zeit seit der letzten Replikation die Tombstone-Ablaufzeit überschritten hat. Soll ich einfach erstmal warten oder stimmt etwas Gravierendes nicht?
zu 3) Langt da der GW nicht? Dort ist doch alles eingetragen.
Danke & Gruß
tox
P.S.: Sollte ich den S2 wieder in den DNS-Manager des S1 eintragen bzw. verbinden?
Also, die Neuinstallation des DNS auf S2 hat schon mal etwas gebracht. Die Einstellungen des S1 schaue ich mir gerade an.
Nebenbei habe ich AD Replikation Monitor auf S1 laufen und siehe da, zwei Einträge sind schon mal nicht mehr mit einem roten Kreuz versehen.
Wenn ich die Replikation allerdings forciere, bekomme ich eine Fehlermeldung, die besagt, das AD nicht replizieren kann, weil die Zeit seit der letzten Replikation die Tombstone-Ablaufzeit überschritten hat. Soll ich einfach erstmal warten oder stimmt etwas Gravierendes nicht?
zu 3) Langt da der GW nicht? Dort ist doch alles eingetragen.
Danke & Gruß
tox
P.S.: Sollte ich den S2 wieder in den DNS-Manager des S1 eintragen bzw. verbinden?
Hui die Tombstone-Ablaufzeit ist etwas Gravierendes. Das muss schon länger nicht mehr Funktionieren !
Da hast du wohl ein kleines Problem ! Als nächsten schritt musst du nachschauen wer welche Rollen im AD hat ? Wer ist PDC, Infrastruktur Master, Schema master usw.
Wenn alle AD- Dienste auf dem S1 liegen musst du mit DCPromo den S2 neu in Domain einbinden.
LG
Da hast du wohl ein kleines Problem ! Als nächsten schritt musst du nachschauen wer welche Rollen im AD hat ? Wer ist PDC, Infrastruktur Master, Schema master usw.
Wenn alle AD- Dienste auf dem S1 liegen musst du mit DCPromo den S2 neu in Domain einbinden.
LG
Ist echt komisch, da es vor ca. 1 1/2 Wochen noch lief. Die clients auf S2 konnten sich anmelden und ohne Weiteres auf die Netzlaufwerke zugreifen. Sie können sich zwar noch anmelden, aber der Zugriff auf NLW funktioniert nicht mehr. Die Fehlermeldung lautet, dass der Zielkontenname ungültig ist. Ich bin davon ausgegangen, dass es mit der Replikation zu tun hat, aber wenn Du sagst, dass schon länger etwas nicht stimmen kann.
Könnte es sein, dass etwas mit dem Batch-Dateien im Netlogon nicht passt? Dort ist einiges an NLWs und Drucker hinterlegt.
Wenn ich mich recht erinnere, zieht DCPromo das Entfernen des bestehenden ADs mit sich. Die Eingabe aller neuen Benutzer würde eine Menge Arbeit bedeuten.
Allerdings ist es auch der Fall, dass im AD auf beiden Servern alle Benutzer unter domain.global aufgeführt sind. Das würde heissen, dass man den S2 nach einer Promo vielleicht mit dem S1 abgleichen könnte, oder sehe ich das falsch?
gruß
tox
P.S.: Ich hoffe, ich bin etwas von IT-Kurs weg gekommen.
Könnte es sein, dass etwas mit dem Batch-Dateien im Netlogon nicht passt? Dort ist einiges an NLWs und Drucker hinterlegt.
Wenn ich mich recht erinnere, zieht DCPromo das Entfernen des bestehenden ADs mit sich. Die Eingabe aller neuen Benutzer würde eine Menge Arbeit bedeuten.
Allerdings ist es auch der Fall, dass im AD auf beiden Servern alle Benutzer unter domain.global aufgeführt sind. Das würde heissen, dass man den S2 nach einer Promo vielleicht mit dem S1 abgleichen könnte, oder sehe ich das falsch?
gruß
tox
P.S.: Ich hoffe, ich bin etwas von IT-Kurs weg gekommen.
Naja 1,5 wochen kann nicht stimmen das sollte mindestens 2 Monate gewesen sein. Zumindest so lange sollte die Replikation nicht mehr gehen.
Zu deiner Frage ja solange du auf S1 noch das AD hast musst du das AD nicht neu machen.
ALS ERSTES EINE KOMPLETTE SICHERUNG BEIDER SERVER ! AM BESTEN EIN IMAGE
Kontrolle ob alle AD Services auf S1 laufen wenn nicht alle zuweisen.
Du müsstest auf S2 DCpromo mit dem Schalter /FORCEREMOVAL ausführen um das AD komplett zu entfernen.
Als nächsten schritt müsstest du auf S1 den nicht mehr Existenten S2 entfernen und alle dazu gehörigen Replikationseinträge usw. das macht man mit NTDSUTIL-METADATA CLEANUP.
Hier noch nützliche erklärungen:
http://support.microsoft.com/kb/216498/de
Dann natürlich auf S2 wieder DCpromo und ihn wieder zum DC machen.
Es gibt auch eine Beschreibung wie man das Problem ohne neuinstallation des zweiten DCs wieder hin bekommt wenn noch kein USN-Rollback besteht.
http://blog.dikmenoglu.de/PermaLink,guid,f6157d8b-2424-4279-bb59-b55273 ...
Info:
Wieviele Tage die Tombstone Lifetime beträgt, hängt davon ab, mit welcher Version der allererste DC in der Gesamtstruktur installiert wurde.
http://www.faq-o-matic.net/2006/07/28/das-geheimnis-der-tombstone-lifet ....
PS: Hier gehts wirklich schon zur Sache wenn du fehler machst kannst du dir damit das ganze AD zerstören. Deswegen umbedingt SICHERUNG und hilfe holen wenn du wo nicht weiter kommst. Am besten für den Notfall einen IT Admin an der seite haben der hilft.
LG
Zu deiner Frage ja solange du auf S1 noch das AD hast musst du das AD nicht neu machen.
ALS ERSTES EINE KOMPLETTE SICHERUNG BEIDER SERVER ! AM BESTEN EIN IMAGE
Kontrolle ob alle AD Services auf S1 laufen wenn nicht alle zuweisen.
Du müsstest auf S2 DCpromo mit dem Schalter /FORCEREMOVAL ausführen um das AD komplett zu entfernen.
Als nächsten schritt müsstest du auf S1 den nicht mehr Existenten S2 entfernen und alle dazu gehörigen Replikationseinträge usw. das macht man mit NTDSUTIL-METADATA CLEANUP.
Hier noch nützliche erklärungen:
http://support.microsoft.com/kb/216498/de
Dann natürlich auf S2 wieder DCpromo und ihn wieder zum DC machen.
Es gibt auch eine Beschreibung wie man das Problem ohne neuinstallation des zweiten DCs wieder hin bekommt wenn noch kein USN-Rollback besteht.
http://blog.dikmenoglu.de/PermaLink,guid,f6157d8b-2424-4279-bb59-b55273 ...
Info:
Wieviele Tage die Tombstone Lifetime beträgt, hängt davon ab, mit welcher Version der allererste DC in der Gesamtstruktur installiert wurde.
http://www.faq-o-matic.net/2006/07/28/das-geheimnis-der-tombstone-lifet ....
PS: Hier gehts wirklich schon zur Sache wenn du fehler machst kannst du dir damit das ganze AD zerstören. Deswegen umbedingt SICHERUNG und hilfe holen wenn du wo nicht weiter kommst. Am besten für den Notfall einen IT Admin an der seite haben der hilft.
LG
Hallo Ausserwoeger,
ich danke Dir für Deine Hilfe und die Links. Klasse!!!
Die Replikation scheint seit November letzten Jahres(!) nicht mehr richtig zu laufen. Um so mehr wundert es mich,
dass erst jetzt das Problem mit dem Zugriff auf NLWs, etc. aufgekommen ist.
Obwohl ich davon ausgehe, dass es eins vom vielen Problemen ist, werde ich erstmal versuchen, die Lingering Objekts
zu entfernen. Falls das alles nichts bringt, werde ich halt eine Promo machen (Vielen Dank für die Anleitung).
Eine generelle Frage:
In einem Verbund von Servern bzw. DCs kann nur einer der "OberDNSler" sein. DNS wird allerdings auf allen DCs installiert, aber nicht weiter konfiguriert. Wie ist das mit dem AD? Läuft es nur auf einem DC (PDC), der dann an alle anderen überträgt und somit immer verfügbar sein muss, damit die clients an den anderen DCs sich anmelden und auf alles zugreifen können? Das kann ja nicht Sinn einer "Serverlandschaft" sein!?
Kann man nicht auf jedem DC ein eigenes AD laufen lassen, damit jeder DC autark läuft und die Server sich nur bei Bedarf replizieren?
Außerdem ist auf den besagten Servern überhaupt keine .local-Domäne, sondern nur eine global eingerichtet. Blödsinn!?
Noch mal vielen Dank! Ich melde mich definitiv!
Gruß
tox
ich danke Dir für Deine Hilfe und die Links. Klasse!!!
Die Replikation scheint seit November letzten Jahres(!) nicht mehr richtig zu laufen. Um so mehr wundert es mich,
dass erst jetzt das Problem mit dem Zugriff auf NLWs, etc. aufgekommen ist.
Obwohl ich davon ausgehe, dass es eins vom vielen Problemen ist, werde ich erstmal versuchen, die Lingering Objekts
zu entfernen. Falls das alles nichts bringt, werde ich halt eine Promo machen (Vielen Dank für die Anleitung).
Eine generelle Frage:
In einem Verbund von Servern bzw. DCs kann nur einer der "OberDNSler" sein. DNS wird allerdings auf allen DCs installiert, aber nicht weiter konfiguriert. Wie ist das mit dem AD? Läuft es nur auf einem DC (PDC), der dann an alle anderen überträgt und somit immer verfügbar sein muss, damit die clients an den anderen DCs sich anmelden und auf alles zugreifen können? Das kann ja nicht Sinn einer "Serverlandschaft" sein!?
Kann man nicht auf jedem DC ein eigenes AD laufen lassen, damit jeder DC autark läuft und die Server sich nur bei Bedarf replizieren?
Außerdem ist auf den besagten Servern überhaupt keine .local-Domäne, sondern nur eine global eingerichtet. Blödsinn!?
Noch mal vielen Dank! Ich melde mich definitiv!
Gruß
tox
Hallo,
das ist so nicht ganz richtig alle dc's sind dns server und beantworten dnsanfragen.. DNS ist ein Domaindienst er wird innerhalb einer domain auf alle dc's repliziert und du brauchst im regelfall nur an einem was ändern und die anderen dcs erhalten über die Replikation die Änderung. Die Zonen die du siehst wurden bei der einrichtung deines AD erstellt je nachdem wie deine dom heißt wird dir dort eine zone angezeigt... heißt sie z.b. Testlab wird dort stehen Testlab.de die meisten Unternehmen unterscheiden ihre interne Domän von Ihrer öffentlichen z.b. local.Testlab
MfG
Marcel
das ist so nicht ganz richtig alle dc's sind dns server und beantworten dnsanfragen.. DNS ist ein Domaindienst er wird innerhalb einer domain auf alle dc's repliziert und du brauchst im regelfall nur an einem was ändern und die anderen dcs erhalten über die Replikation die Änderung. Die Zonen die du siehst wurden bei der einrichtung deines AD erstellt je nachdem wie deine dom heißt wird dir dort eine zone angezeigt... heißt sie z.b. Testlab wird dort stehen Testlab.de die meisten Unternehmen unterscheiden ihre interne Domän von Ihrer öffentlichen z.b. local.Testlab
MfG
Marcel
Marcel hat vollkommen recht. DNS ist automatisch jeder Server den du zu einem Domaincontroller machst.
Ob man eine .local Domain hat oder eine .at Domain hat ist geschmackssache.
Wenn du zb eine .at Domain gemacht hast musst du den DNS so abstimmen das die Lokalen Rechner auch auf die Externe Homepage oder andere Dienste kommen.
Ich Persönlich mach lieber eine .local Domain und verwalte die externe Domain getrennt von der internen Domain.Aber wie gesagt das ist geschmackssache.
PS: Wenn deine Domain .global heisst ist das das selbe als würde sie local oder Intra heissen es darf nur keine Externe Endung sein wie .at,.com usw.
Bitte gerne.
LG
Ob man eine .local Domain hat oder eine .at Domain hat ist geschmackssache.
Wenn du zb eine .at Domain gemacht hast musst du den DNS so abstimmen das die Lokalen Rechner auch auf die Externe Homepage oder andere Dienste kommen.
Ich Persönlich mach lieber eine .local Domain und verwalte die externe Domain getrennt von der internen Domain.Aber wie gesagt das ist geschmackssache.
PS: Wenn deine Domain .global heisst ist das das selbe als würde sie local oder Intra heissen es darf nur keine Externe Endung sein wie .at,.com usw.
Bitte gerne.
LG
Hallo Ausserwoeger,
nachdem ich ein Image von beiden Server gemacht habe, bin ich nach Deiner Anleitung vorgegangen. Also...
Der absolute Brenner!!! Es hat wunderbar funktioniert! Nach einer Stunde inkl. Replikation war alles erledigt.
Nochmals besten Dank!
Allerdings läuft alles immer noch (wie soll's auch anders sein!) über EINE globale Domäne. Kann ich jedem Server ohne Weiteres noch eine lokale Domäne zufügen? Warum? Wie sich nun heraus gestellt hat, waren beide Server ziemlich lange voneinander getrennt, da keine VPN-Verbindung zustande kam. Der S2 ist in dieser Zeit mehr als miserabel (sehr langsam) gelaufen und war letztendlich Grund für diesen Thread. Könnte ich mit einer lokalen Domain so etwas in Zukunft verhindern?
Außerdem nehmen einige clients am S2 die festgelegten Netzlaufwerke aus einer Batch-Datei im Netlogon des S1 an, aber andere nicht. Benutzergruppen sind die gleichen. Gibt es dafür eine Erklärung?
Euch beiden vielen Dank für die Unterstützung!
Gruß
tox
nachdem ich ein Image von beiden Server gemacht habe, bin ich nach Deiner Anleitung vorgegangen. Also...
Der absolute Brenner!!! Es hat wunderbar funktioniert! Nach einer Stunde inkl. Replikation war alles erledigt.
Nochmals besten Dank!
Allerdings läuft alles immer noch (wie soll's auch anders sein!) über EINE globale Domäne. Kann ich jedem Server ohne Weiteres noch eine lokale Domäne zufügen? Warum? Wie sich nun heraus gestellt hat, waren beide Server ziemlich lange voneinander getrennt, da keine VPN-Verbindung zustande kam. Der S2 ist in dieser Zeit mehr als miserabel (sehr langsam) gelaufen und war letztendlich Grund für diesen Thread. Könnte ich mit einer lokalen Domain so etwas in Zukunft verhindern?
Außerdem nehmen einige clients am S2 die festgelegten Netzlaufwerke aus einer Batch-Datei im Netlogon des S1 an, aber andere nicht. Benutzergruppen sind die gleichen. Gibt es dafür eine Erklärung?
Euch beiden vielen Dank für die Unterstützung!
Gruß
tox
Sind die Laufwerke auf den Clients schon anderweitig belegt?
Bitte Gerne ! Also wenn du mich fragst würde ich das anders lösen allerdings kommt das auch auf die €€€€ an die man ausgeben darf bzw. welche Infrastruktur da ist.
Wie siehts den mit dem Internetzugang in der Zentrale und der Aussenstelle aus ? Sind das Sync. Verdindungen oder aSync. wieviel Mbit haben die ?
Wenn du Windows 2008 Server hättest würde ich in die aussenstelle einen RODC stellen und mit DFS die daten Sync. halten wenn es die Internetanbindung zulässt.
Bei 2003 hast du nicht so viele möglichkeiten. Natürlich kannst du eine Eigene Domain in der Aussenstelle machen aber wie sieht es dann mit der Mailzustellung aus ? Habt ihr Exchange ? Wie hällst du die Daten Sync ?
Du müsstest zuwischen den Domains eine Vertrauensstellung einrichten und die Daten Abends mit Robocopy Sync. falls dein Internet das zulässt.
Alles viel zu Kompliziert. Da würde ich lieber einen Terminalserver in der Zentrale aufstellen und die User mit RDP auf dem Server arbeiten lassen. Ausdrucken geht eh in der aussenstelle wenn gewünscht allerdings hast du hier wieder das Problem wenn Programme wie Autocad verwendet werden kann man das nicht machen da der Terminalserver dafür nicht geeignet ist.
Ich bräuchte also mehr Informationen über die Firma und die Infrastruktur.
PS: Wegen den Clients die deine Netzlaufwerke nicht übernehmen: Schau dir mal die Eventlogs an könnte sein das diese Rechner auch nicht mehr richtig in der Domain sind.
LG
Wie siehts den mit dem Internetzugang in der Zentrale und der Aussenstelle aus ? Sind das Sync. Verdindungen oder aSync. wieviel Mbit haben die ?
Wenn du Windows 2008 Server hättest würde ich in die aussenstelle einen RODC stellen und mit DFS die daten Sync. halten wenn es die Internetanbindung zulässt.
Bei 2003 hast du nicht so viele möglichkeiten. Natürlich kannst du eine Eigene Domain in der Aussenstelle machen aber wie sieht es dann mit der Mailzustellung aus ? Habt ihr Exchange ? Wie hällst du die Daten Sync ?
Du müsstest zuwischen den Domains eine Vertrauensstellung einrichten und die Daten Abends mit Robocopy Sync. falls dein Internet das zulässt.
Alles viel zu Kompliziert. Da würde ich lieber einen Terminalserver in der Zentrale aufstellen und die User mit RDP auf dem Server arbeiten lassen. Ausdrucken geht eh in der aussenstelle wenn gewünscht allerdings hast du hier wieder das Problem wenn Programme wie Autocad verwendet werden kann man das nicht machen da der Terminalserver dafür nicht geeignet ist.
Ich bräuchte also mehr Informationen über die Firma und die Infrastruktur.
PS: Wegen den Clients die deine Netzlaufwerke nicht übernehmen: Schau dir mal die Eventlogs an könnte sein das diese Rechner auch nicht mehr richtig in der Domain sind.
LG
Hello again!
Bei den Internetverbindungen handelt es sich um "normale" 6000er DSL-Leitungen. Über eine entsprechende VPN-Verbindung wird gesynct, repliziert und auch die eMails der clients um den S2 angerufen, da sich Exchange nur auf dem S1 befindet. Der Exchange ist dann wahrscheinlich der Hauptgrund, keine lokale Domäne auf dem S2 einzurichten. Somit ist die Idee auch gestorben.
Die Daten via Robocopy zu syncen wäre da zu viel des Guten. Da gebe ich Dir völlig recht. Ich werde versuchen, schnellere Leitungen zu bekommen. Ich denke, da könnte bei dem ein oder anderen Punkt schon Abhilfe geschaffen werden. Vielleicht kann die derzeitige Konfiguration, also die globale Domäne, dann beibehalten werden. Da Windows Server eh nur einen Haupt-DC akzeptiert, wäre das auf jeden Fall das unkomplizierteste.
Die Idee mit RDP finde ich nicht schlecht. Dabei stellt sich natürlich auch die Frage der Verbindungsgeschwindigkeit und außerdem ist ein Terminalserver auch nicht günstig. Ist eine gute Alternative zu einem (möglicherweise gewünschten) dritten Server. Verwendete Programme beschränken sich größtenteils auf Office-Programme. Von AutoCAD und Co. ist man meilenweit entfernt.
Bezüglich der Netzlaufwerke steht meiner Meinung nach nichts Besonderes in den Ereignissen. Allerdings gibt es einige Einträge zum DNS-Server, die ich mir gleich anschauen muss. Und unter AD -> "Computer" sind drei clients dupliziert worden bzw. steht hinter dem Rechnernamen "CNF:91e60....". Warum macht er so etwas? Die Buchstaben für die Netzlaufwerke waren auf den jeweiligen Rechner nicht belegt. Ich habe diese erstmal manuell angelegt, werde es aber noch mit einem vorangehenden "/delete" in der Batch-Datei versuchen.
Besten Dank, einen riesigen Gruß und einen sonnigen Spätnachmittag.
tox
Bei den Internetverbindungen handelt es sich um "normale" 6000er DSL-Leitungen. Über eine entsprechende VPN-Verbindung wird gesynct, repliziert und auch die eMails der clients um den S2 angerufen, da sich Exchange nur auf dem S1 befindet. Der Exchange ist dann wahrscheinlich der Hauptgrund, keine lokale Domäne auf dem S2 einzurichten. Somit ist die Idee auch gestorben.
Die Daten via Robocopy zu syncen wäre da zu viel des Guten. Da gebe ich Dir völlig recht. Ich werde versuchen, schnellere Leitungen zu bekommen. Ich denke, da könnte bei dem ein oder anderen Punkt schon Abhilfe geschaffen werden. Vielleicht kann die derzeitige Konfiguration, also die globale Domäne, dann beibehalten werden. Da Windows Server eh nur einen Haupt-DC akzeptiert, wäre das auf jeden Fall das unkomplizierteste.
Die Idee mit RDP finde ich nicht schlecht. Dabei stellt sich natürlich auch die Frage der Verbindungsgeschwindigkeit und außerdem ist ein Terminalserver auch nicht günstig. Ist eine gute Alternative zu einem (möglicherweise gewünschten) dritten Server. Verwendete Programme beschränken sich größtenteils auf Office-Programme. Von AutoCAD und Co. ist man meilenweit entfernt.
Bezüglich der Netzlaufwerke steht meiner Meinung nach nichts Besonderes in den Ereignissen. Allerdings gibt es einige Einträge zum DNS-Server, die ich mir gleich anschauen muss. Und unter AD -> "Computer" sind drei clients dupliziert worden bzw. steht hinter dem Rechnernamen "CNF:91e60....". Warum macht er so etwas? Die Buchstaben für die Netzlaufwerke waren auf den jeweiligen Rechner nicht belegt. Ich habe diese erstmal manuell angelegt, werde es aber noch mit einem vorangehenden "/delete" in der Batch-Datei versuchen.
Besten Dank, einen riesigen Gruß und einen sonnigen Spätnachmittag.
tox
Na bestens 
Ich kann mir nur vorstellen das diese endung ( "CNF:91e60...." ) entsteht wenn ein Rechner eintweder nicht richtig in der Domain hängt oder wenn Rechner über ein Imaging System gecloned werden und die selbe SID haben.
Wenn es gleiche SIDs im Netz gibt kann der DC die Rechner nicht richtig unterscheiden.
Wenn du das Problem mit XP hast würde ich dir das Tool NEWSID ans herz legen. Einfach neue SID erstellen lassen und neu in die Domain einbinden Fertig !
Bei Win7 gibt es nur die möglichkeit Sysprep zu machen und neu einzubinden.
LG
Ich kann mir nur vorstellen das diese endung ( "CNF:91e60...." ) entsteht wenn ein Rechner eintweder nicht richtig in der Domain hängt oder wenn Rechner über ein Imaging System gecloned werden und die selbe SID haben.
Wenn es gleiche SIDs im Netz gibt kann der DC die Rechner nicht richtig unterscheiden.
Wenn du das Problem mit XP hast würde ich dir das Tool NEWSID ans herz legen. Einfach neue SID erstellen lassen und neu in die Domain einbinden Fertig !
Bei Win7 gibt es nur die möglichkeit Sysprep zu machen und neu einzubinden.
LG
