Active Directory Probleme DC sieht sich nicht selbst als DC DNS Fehler?
Moin zusammen,
Angefangen hat die Suche damit, dass der Anmeldedienst immer angehalten wird, bei einem Neustart des DC.
nach unendlicher Suche nach Lösungen für meine Fehler könnte ich etwas Hilfe brauchen, ich komme nicht drauf.
bei so manchen Abfragen scheint alles ok zu sein, bspw.:
netdom /query fsmo
Alles 5 Rollen werden eindeutig dem vollen Namen vom DC angezeigt...
nltest /dsgetdc:meine.domain
wird auch alles korrekt angezeigt...
Jetzt kommt´s dicke: ich denke, es liegt alles irgendwo daran, dass ich einen zweiten DC mit ins Netz genommen hat, was auch damals gut funktioniert hat,
der primäre DC ist noch ein 2008R2 und der neue ein Server2016.
es waren immer irgendwelche Replizierungsfehler in der Ereignisanzeige, aber der zweite DC hat alle Informationen vom ersten DC erhalten...
auch die beiden Befehle oben werden auf dem zweiten DC korrekt ausgeführt.
Wenn ich jetzt aber beispielsweise nltest /dclist:contoso eingebe, dann wird es kurios:
DC zum Abrufen der DC-Liste wurde nicht gefunden.Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
auf beiden DCs die gleiche Meldung.
ich bin am Verzweifeln....
dieser Fehler hier bereitet mir Kopfschmerzen:
Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle.
Die Fehlermeldungen sind unendlich, das würde jetz tzuweit fürhren, aber vielleicht hat jemand eine Idee und sagt, na klar, alles nur durch dies und jenes erzeugt...
Also cih denke das Hauptproblem wodurch alle Fehler entstehen, ist dass der DC sich eben nicht sieht.
ich wollte auch schon ein tieferstufen des zweiten DC probieren, geht aber auch nicht... domain nicht verfügbar....
Danke schon mal an alle und beste Grüße,
Cisco
Angefangen hat die Suche damit, dass der Anmeldedienst immer angehalten wird, bei einem Neustart des DC.
nach unendlicher Suche nach Lösungen für meine Fehler könnte ich etwas Hilfe brauchen, ich komme nicht drauf.
bei so manchen Abfragen scheint alles ok zu sein, bspw.:
netdom /query fsmo
Alles 5 Rollen werden eindeutig dem vollen Namen vom DC angezeigt...
nltest /dsgetdc:meine.domain
wird auch alles korrekt angezeigt...
Jetzt kommt´s dicke: ich denke, es liegt alles irgendwo daran, dass ich einen zweiten DC mit ins Netz genommen hat, was auch damals gut funktioniert hat,
der primäre DC ist noch ein 2008R2 und der neue ein Server2016.
es waren immer irgendwelche Replizierungsfehler in der Ereignisanzeige, aber der zweite DC hat alle Informationen vom ersten DC erhalten...
auch die beiden Befehle oben werden auf dem zweiten DC korrekt ausgeführt.
Wenn ich jetzt aber beispielsweise nltest /dclist:contoso eingebe, dann wird es kurios:
DC zum Abrufen der DC-Liste wurde nicht gefunden.Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
auf beiden DCs die gleiche Meldung.
ich bin am Verzweifeln....
dieser Fehler hier bereitet mir Kopfschmerzen:
Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle.
Die Fehlermeldungen sind unendlich, das würde jetz tzuweit fürhren, aber vielleicht hat jemand eine Idee und sagt, na klar, alles nur durch dies und jenes erzeugt...
Also cih denke das Hauptproblem wodurch alle Fehler entstehen, ist dass der DC sich eben nicht sieht.
ich wollte auch schon ein tieferstufen des zweiten DC probieren, geht aber auch nicht... domain nicht verfügbar....
Danke schon mal an alle und beste Grüße,
Cisco
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380293
Url: https://administrator.de/forum/active-directory-probleme-dc-sieht-sich-nicht-selbst-als-dc-dns-fehler-380293.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
1. sind die SRV records alle korrekt gesetzt?
https://blogs.msdn.microsoft.com/servergeeks/2014/07/12/dns-records-that ...
2. ansonsten mal de Replikation manuell anstoßen und evtl fehler posten
und
3. ansonten mal alle FSMO rollen per seize rüberholen
https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...
Poste auchh mal bitte die ausgabe von DCDIAG
https://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pru ...
1. sind die SRV records alle korrekt gesetzt?
https://blogs.msdn.microsoft.com/servergeeks/2014/07/12/dns-records-that ...
2. ansonsten mal de Replikation manuell anstoßen und evtl fehler posten
repadmin /kcc
repadmin /syncall /AdeP
repadmin /syncall /Ade
3. ansonten mal alle FSMO rollen per seize rüberholen
https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...
Poste auchh mal bitte die ausgabe von DCDIAG
https://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pru ...
Mach auf beiden DCs nach einander einen Neustart und zeige mal, was die Eventlogs auf beiden Maschinen vom Zeitpunkt des Neustarts an melden.
Wenn es wirklich die Replikation ist, gibt es einen Grund, warum diese ausgesetzt hat.
Und erzwingen würde ich sie nur, wenn einzuschätzen ist, welche Konsequenzen damit einher gehen.
Du kannst Dir die Domäne nämlich ins Nirvana replizieren.
Wenn es wirklich die Replikation ist, gibt es einen Grund, warum diese ausgesetzt hat.
Und erzwingen würde ich sie nur, wenn einzuschätzen ist, welche Konsequenzen damit einher gehen.
Du kannst Dir die Domäne nämlich ins Nirvana replizieren.
Hallo
Gibt es im Eventlog Fehler im Kerberos kdc?
Vielleicht mögen Sich deine DCs nicht mehr.
https://servergurunow.wordpress.com/2017/06/30/reset-secure-channel/
Grüße
lcer
Gibt es im Eventlog Fehler im Kerberos kdc?
Vielleicht mögen Sich deine DCs nicht mehr.
https://servergurunow.wordpress.com/2017/06/30/reset-secure-channel/
Grüße
lcer
da hat man ja mal was zum tüfteln ;) puh..
ersmal würd ich die 2. Großgeschriebene Einträge alle rausnehmen
wurde ein domaincontroller den mal vom backup hergestellt oder läuft der seit 180+ tage nicht syncron?
das kommt mir schon nach irgedein Tombstone Fehler hin..puh
ansonten mal auf beiden Servern die Rolle DFS Replikation installieren und schauen ob dort SYSVOL repliziert wird. Screenshot Posten von mir aus gerne.
Und sollte es echt nur an der Sch. DNS Zone liegen.. evtl mal die DNS Zone nicht Active Directory Integriert einstellen und nochmal
hoffe jeamdn anderes hat bessere ideen als ich ;) bin gespannt
ersmal würd ich die 2. Großgeschriebene Einträge alle rausnehmen
SERVER2.meine.domain.de internet address = 192.168.202.3
wurde ein domaincontroller den mal vom backup hergestellt oder läuft der seit 180+ tage nicht syncron?
Die Active Directory-Domänendienste-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsvorgangs wiederhergestellt.
Solange dieser Zustand besteht, können keine Benutzer über die Active Directory-Domänendienste angemeldet werden. Aus diesem Grund wird der Netzwerkanmeldedienst angehalten.
In der folgenden Partition wurden von der Active Directory-Domänendienste-Replikation Objekte entdeckt, die von der Active Directory-Domänendienste-Datenbank des lokalen Domänencontrollers gelöscht wurden. Beim Löschen replizierten nicht alle direkten oder transitiven Replikationspartner vor Ablauf der Tombstone- Verfallszeit. Objekte, die von einer Active Directory-Domänendienste-Partition gelöscht und in die Sammlung veralteter Objekte aufgenommen wurden, aber nach wie vor in den beschreibbaren Partitionen anderer Domänencontroller der gleichen Domäne vorhanden sind, oder schreibgeschützte Partitionen der globalen Katalogserver in anderen Domänen innerhalb der Gesamtstruktur werden als "veraltete Objekte" bezeichnet.
ansonten mal auf beiden Servern die Rolle DFS Replikation installieren und schauen ob dort SYSVOL repliziert wird. Screenshot Posten von mir aus gerne.
Und sollte es echt nur an der Sch. DNS Zone liegen.. evtl mal die DNS Zone nicht Active Directory Integriert einstellen und nochmal
repadmin gedöns ausführen
hoffe jeamdn anderes hat bessere ideen als ich ;) bin gespannt
Zitat von @nEmEsIs:
Hi
Kann es (nur Vermutung) sein das dein Windows 2008r2 noch versucht mit FRS zu Syncen und der W2016 das nicht mehr kann. Meines Wissens nach wurde das im 2016 eingestellt und ist nurnoch DFS.
Mit freundlichen Grüßen Nemesis
guter tipp.. 2008r2 macht aber schon DFS von haus aus ;)Hi
Kann es (nur Vermutung) sein das dein Windows 2008r2 noch versucht mit FRS zu Syncen und der W2016 das nicht mehr kann. Meines Wissens nach wurde das im 2016 eingestellt und ist nurnoch DFS.
Mit freundlichen Grüßen Nemesis
Hallo
Überprüfe mal die Uhrzeiten der Server & die w32time Einstellungen. https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-c ...
Grüße
lcer
Der Dienst w32time auf [SERVER1] wurde beendet.
Ungültiger Diensttyp: NETLOGON auf SERVER1; aktueller Wert: WIN32_SHARE_PROCESS; erwarteter Wert: WIN32_SHARE_PROCESS
SERVER1 hat den Test Services nicht bestanden.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.
meine.domain.de hat den Test LocatorCheck nicht bestanden.
Ungültiger Diensttyp: NETLOGON auf SERVER1; aktueller Wert: WIN32_SHARE_PROCESS; erwarteter Wert: WIN32_SHARE_PROCESS
SERVER1 hat den Test Services nicht bestanden.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.
meine.domain.de hat den Test LocatorCheck nicht bestanden.
Überprüfe mal die Uhrzeiten der Server & die w32time Einstellungen. https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-c ...
Grüße
lcer
Kollege @dodo30 war so freundlich und hat da etwas herausgefiltert, das wichtig ist.
Es scheint so, dass einer der DCs in einen Sperrzustand abgedriftet ist.
Das kann passieren, wenn die Büchse auf falschem Weg zurückgesetzt wird. Sollte die Maschine zum Beispiel virtualisiert sein, wird beim Zurücksetzen auf einen vorausgehenden Snapshot immer dieses Verhalten aufkommen.
So nun zum Kern des Ganzen:
Ich nehme nicht an, dass DNS das Problem ist. Ich rate Dir erstmal dazu herauszufinden, welcher der DCs überhaupt noch korrekt arbeitet. Und hier kann das Problem liegen, dass auch der kaputte immernoch seinen Dienst tut.
Um ein besseres Gefühl zu bekommen, wer der Übeltäter ist, möchte ich Dich bitten,
auf beiden DCs den Befehl "repadmin /showrepl" auszuführen und mir mitzuteilen, was bei DSA-Optionen steht.
Dann machst Du bitte noch folgendes:
Auf beiden DCs gehst Du in die Registry in diesen Schlüssel: HKLM\System\CurrentControlSet\Services\NTDS\Parameters.
Schau mal nach ob irgendeiner der beiden ein "DSA Not Writable"-Wert drin hat und auf was der steht.
Es scheint so, dass einer der DCs in einen Sperrzustand abgedriftet ist.
Das kann passieren, wenn die Büchse auf falschem Weg zurückgesetzt wird. Sollte die Maschine zum Beispiel virtualisiert sein, wird beim Zurücksetzen auf einen vorausgehenden Snapshot immer dieses Verhalten aufkommen.
So nun zum Kern des Ganzen:
Ich nehme nicht an, dass DNS das Problem ist. Ich rate Dir erstmal dazu herauszufinden, welcher der DCs überhaupt noch korrekt arbeitet. Und hier kann das Problem liegen, dass auch der kaputte immernoch seinen Dienst tut.
Um ein besseres Gefühl zu bekommen, wer der Übeltäter ist, möchte ich Dich bitten,
auf beiden DCs den Befehl "repadmin /showrepl" auszuführen und mir mitzuteilen, was bei DSA-Optionen steht.
Dann machst Du bitte noch folgendes:
Auf beiden DCs gehst Du in die Registry in diesen Schlüssel: HKLM\System\CurrentControlSet\Services\NTDS\Parameters.
Schau mal nach ob irgendeiner der beiden ein "DSA Not Writable"-Wert drin hat und auf was der steht.
Dann setze die Frage bitte auch auf gelöst und markiere bitte alle Kommentare, die hierbei hilfreich waren und zur Lösung beitrugen.
ich habe tatsächlich wegen dem angehaltenen Netlogon-Service heruasgefunden, dass in der Registry der
DSA-Not-Writable Wert nicht gestimmt hat.
weiß nicht mehr was drin stand aber den habe ich auf 0 gesetzt und schwupps, gings wieder mit der Anmeldung.
Ich finde das gruselig, denn der Tipp, den ich der gab, setzt genaue Analyse voraus, da Du mit blindem Aktionismus hier zwar Glück haben kannst, aber Du kannst auch die letzte Bremse lösen, die den Absturz in den Abgrund noch verhindert.
nachdem der 2. DC sowas von verkrüppelt war, habe ich den wieder zurückgestuft, gezwungen.... hat auch funktioniert.
Die Metadaten auf dem 1. DC gelöscht, AD gesäubert, in meiner ersten Zone im DNS wollte er nicht verschwinden, aber die habe ich kurzerhand gelöscht und neu erstellt. jetzt ist der 2. DC komplett verschwunden, als wäre er nie da gewesen.
alle Events mal vom 1.DC gelöscht und neu gestartet und siehe da, das eventlog ist sauber, alle Fehler waren wohl Folge von der verkrüppelten Replikation mit dem 2. DC
Nachdem der eh nur als Test laufen sollte, weine ich dem keine Träne nach, der Plan ist, zwei komplett neue DCs ins Netz zu nehmen und die Ebene komplett auf 2016 zu ziehen. wird bestimmt auch spannend für mich als Laie.
die neuen HPs sind schneller und verbrauchen zu zweit so viel wie mein alter DC.... also nur Vorteile... und die beiden haben immerhin jetzt 10GbE karten drin (wurde ja auch mal Zeit)
noch einen off-topic: Hat jemand eine Ahnung, warum meine WOrkstation die einzige im Netzwerk hier ist, die die anderen Netzwerkcomputer nicht sieht? andere Win7 Computer und Win10 Clients haben alle sofort alle Server und Clients in der Netzwerkumgebung...
braucht man nicht unbedingt, bin aber hier noch Oldschool, das war schon immer so und das möchte ich wieder haben
Mit dem SMB Zeugs habe ich schon herumprobiert, da passiert nix...
Setze erstmal diesen Thread bitte auf gelöst. Das wäre nur fair.
BIN DRAUẞEN!