14.07.2018

21726

Active Directory Probleme DC sieht sich nicht selbst als DC DNS Fehler?

Moin zusammen,

Angefangen hat die Suche damit, dass der Anmeldedienst immer angehalten wird, bei einem Neustart des DC.
nach unendlicher Suche nach Lösungen für meine Fehler könnte ich etwas Hilfe brauchen, ich komme nicht drauf.
bei so manchen Abfragen scheint alles ok zu sein, bspw.:
netdom /query fsmo
Alles 5 Rollen werden eindeutig dem vollen Namen vom DC angezeigt...
nltest /dsgetdc:meine.domain
wird auch alles korrekt angezeigt...
Jetzt kommt´s dicke: ich denke, es liegt alles irgendwo daran, dass ich einen zweiten DC mit ins Netz genommen hat, was auch damals gut funktioniert hat,
der primäre DC ist noch ein 2008R2 und der neue ein Server2016.
es waren immer irgendwelche Replizierungsfehler in der Ereignisanzeige, aber der zweite DC hat alle Informationen vom ersten DC erhalten...
auch die beiden Befehle oben werden auf dem zweiten DC korrekt ausgeführt.

Wenn ich jetzt aber beispielsweise nltest /dclist:contoso eingebe, dann wird es kurios:
DC zum Abrufen der DC-Liste wurde nicht gefunden.Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN
auf beiden DCs die gleiche Meldung.
ich bin am Verzweifeln....

dieser Fehler hier bereitet mir Kopfschmerzen:
Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle.

Die Fehlermeldungen sind unendlich, das würde jetz tzuweit fürhren, aber vielleicht hat jemand eine Idee und sagt, na klar, alles nur durch dies und jenes erzeugt...
Also cih denke das Hauptproblem wodurch alle Fehler entstehen, ist dass der DC sich eben nicht sieht.
ich wollte auch schon ein tieferstufen des zweiten DC probieren, geht aber auch nicht... domain nicht verfügbar....

Danke schon mal an alle und beste Grüße,
Cisco

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 380293

Url: https://administrator.de/contentid/380293

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

15 Kommentare

Neuester Kommentar

Hallo,

1. sind die SRV records alle korrekt gesetzt?

https://blogs.msdn.microsoft.com/servergeeks/2014/07/12/dns-records-that ...

2. ansonsten mal de Replikation manuell anstoßen und evtl fehler posten

repadmin /kcc

repadmin /syncall /AdeP

und

repadmin /syncall /Ade

3. ansonten mal alle FSMO rollen per seize rüberholen

https://www.windowspro.de/andreas-kroschel/fsmo-rollen-im-ad-schema-uebe ...

Poste auchh mal bitte die ausgabe von DCDIAG

https://www.faq-o-matic.net/2006/08/14/domaenencontroller-mit-dcdiag-pru ...

Mach auf beiden DCs nach einander einen Neustart und zeige mal, was die Eventlogs auf beiden Maschinen vom Zeitpunkt des Neustarts an melden.

Wenn es wirklich die Replikation ist, gibt es einen Grund, warum diese ausgesetzt hat.
Und erzwingen würde ich sie nur, wenn einzuschätzen ist, welche Konsequenzen damit einher gehen.
Du kannst Dir die Domäne nämlich ins Nirvana replizieren.

Hallo

Gibt es im Eventlog Fehler im Kerberos kdc?

Vielleicht mögen Sich deine DCs nicht mehr.

https://servergurunow.wordpress.com/2017/06/30/reset-secure-channel/

Grüße

lcer

Hi

Kann es (nur Vermutung) sein das dein Windows 2008r2 noch versucht mit FRS zu Syncen und der W2016 das nicht mehr kann. Meines Wissens nach wurde das im 2016 eingestellt und ist nurnoch DFS.

Mit freundlichen Grüßen Nemesis

Hallo nochmal zusammen,

AUgenscheinlich scheinen die auch alle richtig zu sein, also für meine Laienaugen:

_ldap._tcp.dc._msdcs.meine.domain.de

Server: server1.meine.domain.de
Address: 192.168.202.1

_ldap._tcp.dc._msdcs.meine.domain.de SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = server1.meine.domain.de
_ldap._tcp.dc._msdcs.meine.domain.de SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = SERVER2.meine.domain.de
_ldap._tcp.dc._msdcs.meine.domain.de SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = server2.meine.domain.de
server1.meine.domain.de internet address = 192.168.202.1
SERVER2.meine.domain.de internet address = 192.168.202.3
server2.meine.domain.de internet address = 192.168.202.3

oder GC:
_ldap._tcp.gc._msdcs.meine.domain.de SRV service location:
priority = 0
weight = 100
port = 3268
svr hostname = server2.meine.domain.de
_ldap._tcp.gc._msdcs.meine.domain.de SRV service location:
priority = 0
weight = 100
port = 3268
svr hostname = SERVER2.meine.domain.de
_ldap._tcp.gc._msdcs.meinee.domain.de SRV service location:
priority = 0
weight = 100
port = 3268
svr hostname = server1.meine.domain.de
server2.meine.domain.de internet address = 192.168.202.3
SERVER2.meine.domain.de internet address = 192.168.202.3
server1.meine.domain.de internet address = 192.168.202.1

Kerberos Dings das gleiche:

_kerberos._tcp.dc._msdcs.meine.domain.de

Server: server1.meine.domain.de
Address: 192.168.202.1

_kerberos._tcp.dc._msdcs.meine.domain.de SRV service location:
priority = 0
weight = 100
port = 88
svr hostname = SERVER2.meine.domain.de
_kerberos._tcp.dc._msdcs.meine.domain.de SRV service location:
priority = 0
weight = 100
port = 88
svr hostname = server2.meine.domain.de
_kerberos._tcp.dc._msdcs.meine.domain.de SRV service location:
priority = 0
weight = 100
port = 88
svr hostname = server1.meine.domain.de
SERVER2.meine.domain.de internet address = 192.168.202.3
server2.meine.domain.de internet address = 192.168.202.3
server1.meine.domain.de internet address = 192.168.202.1

-Geht auch beim anderen DC, schaut gleich aus......
note: komisch, dass der zweite zweimal drin steht, einmal gross geschreiben, einmal klein geschrieben....

Repadmin: Befehl "/kcc" wird für den vollständigen DC "localhost" ausgeführt
Default-First-Site-Name
Aktuell Standortoptionen: (none)
Die Konsistenzüberprüfung auf localhost war erfolgreich.

repadmin /syncall /AdeP
unter anderem, steht echt viel drin...:

Alle NCs auf SERVER1 werden synchronisiert.
Partition wird synchronisiert: DC=ForestDnsZones,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: Die folgende Replikation wird ausgeführt:
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: Fehler beim Ausstellen der Replikation: 8606 (0x219e):
Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erstellen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht oder in di
e Sammlung veralteter Objekte aufgenommen wurde.
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: SyncAll wurde abgeschlossen.

SyncAll hat folgenden Fehler ermittelt:
Fehler beim Ausstellen der Replikation: 8606 (0x219e):
Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erstellen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht oder in di
e Sammlung veralteter Objekte aufgenommen wurde.
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de

und zum Schluss, also nach den Forest und domaindns Zones, geht es plötzlich:

Partition wird synchronisiert: CN=Schema,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: Die folgende Replikation wird ausgeführt:
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: Die folgende Replikation wurde erfolgreich abgeschlossen:
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: SyncAll wurde abgeschlossen.
SyncAll wurde ohne Fehler beendet.

Partition wird synchronisiert: CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: Die folgende Replikation wird ausgeführt:
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: Die folgende Replikation wurde erfolgreich abgeschlossen:
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: SyncAll wurde abgeschlossen.
SyncAll wurde ohne Fehler beendet.

Partition wird synchronisiert: DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: Die folgende Replikation wird ausgeführt:
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: Die folgende Replikation wurde erfolgreich abgeschlossen:
Von: CN=NTDS Settings,CN=SERVER1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
An : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=meine,DC=domain,DC=de
RÜCKRUFMELDUNG: SyncAll wurde abgeschlossen.
SyncAll wurde ohne Fehler beendet.

repadmin /syncall /Ade schaut eigentlich genau so aus...
die ersten beiden Absätze mit Fehlern, die anderen 4 ohne Fehler...

ja, dcdiag ist auch interessant, damit könnt ihr wahrscheinlich mehr anfangen als ich...
ist es ok, wenn ich nur die Fehler posten lasse?
dcdiag /q
Achtung: Von SERVER1 werden keine Ankündigungen als Zeitserver vorgenommen.
......................... SERVER1 hat den Test Advertising nicht bestanden.
Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der
SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
......................... SERVER1 hat den Test DFSREvent nicht bestanden.
[Replications Check,SERVER1] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von SERVER2 nach SERVER1
Namenskontext: DC=ForestDnsZones,DC=meine,DC=domain,DC=de
Beim Replizieren ist ein Fehler aufgetreten (8606):
Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erstellen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht od
n die Sammlung veralteter Objekte aufgenommen wurde.

Auftreten des Fehlers: 2018-07-14 22:00:19.
Letzter erfolgreicher Vorgang: 2018-06-06 09:53:13.
Seit dem letzten erfolgreichen Vorgang sind 331 Fehler aufgetreten.
[Replications Check,SERVER1] Bei einer kürzlich ausgeführten Replikation ist ein Fehler aufgetreten:
Von SERVER2 nach SERVER1
Namenskontext: DC=meine,DC=domain,DC=de
Beim Replizieren ist ein Fehler aufgetreten (8457):
Der Zielserver nimmt zurzeit keine Replikationsanforderungen entgegen.
Auftreten des Fehlers: 2018-07-14 22:00:36.
Letzter erfolgreicher Vorgang: 2018-07-14 22:00:20.
Seit dem letzten erfolgreichen Vorgang sind 1 Fehler aufgetreten.
......................... SERVER1 hat den Test Replications nicht bestanden.
Der Dienst w32time auf [SERVER1] wurde beendet.
Ungültiger Diensttyp: NETLOGON auf SERVER1; aktueller Wert: WIN32_SHARE_PROCESS; erwarteter Wert: WIN32_SHARE_PROCESS
......................... SERVER1 hat den Test Services nicht bestanden.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.
......................... meine.domain.de hat den Test LocatorCheck nicht bestanden.

Was vielleicht doch auch noch mal interessant ist:

C:\>nltest /dcname:meine.domain.de
Fehler bei NetGetDCName: Status = 2453 0x995 NERR_DCNotFound

C:\>nltest /dcname:meine
PDC für Domäne meine ist \\SERVER1.
Der Befehl wurde ausgeführt.

Also, wenn ich den Domänennamen nicht komplett schreibe, dann geht´s. wenn er voll ausgeschrieben ist, dann nicht.

und bei der dclist geht beides, wenn man die richtige domain eingibt.. habe das vorher nicht als Beispiel identifiziert

C:\>nltest /dclist:meine
Liste der Domänencontroller (DCs) in Domäne 'meine' von '\\SERVER1' abrufen.
SERVER1.meine.domain.de [PDC] [DS] Standort: Default-First-Site-Name
SERVER2.meine.domain.de [DS] Standort: Default-First-Site-Name
Der Befehl wurde ausgeführt.

C:\>nltest /dclist:meine.domain.de
Liste der Domänencontroller (DCs) in Domäne 'meine.domain.de' von '\\SERVER1.meine.domain.de' abrufen.
SERVER1.meine.domain.de [PDC] [DS] Standort: Default-First-Site-Name
SERVER2.meine.domain.de [DS] Standort: Default-First-Site-Name
Der Befehl wurde ausgeführt.

C:\>nltest /sc_query:meine.domain.de
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

C:\>nltest /sc_query:meine
Fehler bei I_NetLogonControl: Status = 1355 0x54b ERROR_NO_SUCH_DOMAIN

also völlig seltsam, aber mit meinem logischen Laienverstand glaube ich, dass mit dem DNS was nicht so richtig stimmt?

A so, seize roles will ich eher nicht, mein pdc hat ja die Rollen alle inne, das sol er auch gerne machen... die müssen später auf andere dann übertragen werden...

Kerberos KDC eventlog habe ich leider keine Ahnung wo ich den finden kann.......

Nach dem lezten Neustart der Server nacheinander ist das eventlog wieder rot...

Acitve Directory:
In der folgenden Partition wurden von der Active Directory-Domänendienste-Replikation Objekte entdeckt, die von der Active Directory-Domänendienste-Datenbank des lokalen Domänencontrollers gelöscht wurden. Beim Löschen replizierten nicht alle direkten oder transitiven Replikationspartner vor Ablauf der Tombstone- Verfallszeit. Objekte, die von einer Active Directory-Domänendienste-Partition gelöscht und in die Sammlung veralteter Objekte aufgenommen wurden, aber nach wie vor in den beschreibbaren Partitionen anderer Domänencontroller der gleichen Domäne vorhanden sind, oder schreibgeschützte Partitionen der globalen Katalogserver in anderen Domänen innerhalb der Gesamtstruktur werden als "veraltete Objekte" bezeichnet.
(werde ich mal auf den Grund gehen)

dann
Dieser Server ist der Besitzer der folgenden FSMO-Rolle, die jedoch nicht als gültig eingestuft wird. Für die Partition, die das FSMO enthält, wurde dieser Server seit dem letzten Neustart nicht erfolgreich mit einem beliebigen Partner repliziert. Replikationsfehler verhindern die Verifizierung dieser Rolle.
(das ist echt blöd, weil er könnte ja auch alleine im Netzwerk unterwegs sein....)

und hier steht was über den Anmeldedienst, den brauche ich unbedingt wieder:
Die Active Directory-Domänendienste-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsvorgangs wiederhergestellt.

Solange dieser Zustand besteht, können keine Benutzer über die Active Directory-Domänendienste angemeldet werden. Aus diesem Grund wird der Netzwerkanmeldedienst angehalten.

Dateidienste:
Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "SERVER2" für Replikationsgruppe "Domain System Volume". Dieser Fehler kann auftreten, wenn der Host nicht erreichbar ist oder der DFS-Replikationsdienst nicht auf dem Server ausgeführt wird.

Partner-DNS-Adresse: SERVER2.meine.domain.de

Optionale Daten, falls verfügbar:
Partner-WINS-Adresse: SERVER2
Partner-IP-Adresse: 192.168.202.3

Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen.

Weitere Informationen:
Fehler: 1722 (Der RPC-Server ist nicht verfügbar.)
Verbindungs-ID: C788B672-6372-4A5B-A0E7-741C800F9451

DHCP-Server:
Dieser Computer verfügt über mindestens eine dynamisch zugewiesene IPv6-Adresse. Verwenden Sie nach Möglichkeit nur statische IPv6-Adressen, um zuverlässige DHCPv6-Servervorgänge zu gewährleisten.
(stimmt eigentlcih nicht, alle Adapter haben ipv6 weggeklickt bekommen, ich weiß nicht warum aber ich mag ipv6 im lokalen Netzwerk nicht).

DNS-Server
Log ist ohne Fehler... komisch

Hyper-V:
Fehler beim Registrieren des Dienstprinzipalnamens.
neben anderen nicht Fehlern..

nochmal einen dcdiag dns test:
C:\>dcdiag /test:dns

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = SERVER1

Identifizierte AD-Gesamtstruktur.

also ganz sauber kann da was nicht laufen....

da hat man ja mal was zum tüfteln ;) puh..

ersmal würd ich die 2. Großgeschriebene Einträge alle rausnehmen

SERVER2.meine.domain.de internet address = 192.168.202.3

wurde ein domaincontroller den mal vom backup hergestellt oder läuft der seit 180+ tage nicht syncron?

Die Active Directory-Domänendienste-Datenbank wurde mithilfe eines nicht unterstützten Wiederherstellungsvorgangs wiederhergestellt. 

Solange dieser Zustand besteht, können keine Benutzer über die Active Directory-Domänendienste angemeldet werden. Aus diesem Grund wird der Netzwerkanmeldedienst angehalten. 

In der folgenden Partition wurden von der Active Directory-Domänendienste-Replikation Objekte entdeckt, die von der Active Directory-Domänendienste-Datenbank des lokalen Domänencontrollers gelöscht wurden. Beim Löschen replizierten nicht alle direkten oder transitiven Replikationspartner vor Ablauf der Tombstone- Verfallszeit. Objekte, die von einer Active Directory-Domänendienste-Partition gelöscht und in die Sammlung veralteter Objekte aufgenommen wurden, aber nach wie vor in den beschreibbaren Partitionen anderer Domänencontroller der gleichen Domäne vorhanden sind, oder schreibgeschützte Partitionen der globalen Katalogserver in anderen Domänen innerhalb der Gesamtstruktur werden als "veraltete Objekte" bezeichnet.   

das kommt mir schon nach irgedein Tombstone Fehler hin..puh

ansonten mal auf beiden Servern die Rolle DFS Replikation installieren und schauen ob dort SYSVOL repliziert wird. Screenshot Posten von mir aus gerne.

Und sollte es echt nur an der Sch. DNS Zone liegen.. evtl mal die DNS Zone nicht Active Directory Integriert einstellen und nochmal

repadmin gedöns ausführen

hoffe jeamdn anderes hat bessere ideen als ich ;) bin gespannt

Zitat von @nEmEsIs:

Hi

Kann es (nur Vermutung) sein das dein Windows 2008r2 noch versucht mit FRS zu Syncen und der W2016 das nicht mehr kann. Meines Wissens nach wurde das im 2016 eingestellt und ist nurnoch DFS.

Mit freundlichen Grüßen Nemesis

guter tipp.. 2008r2 macht aber schon DFS von haus aus ;)

Hallo

Der Dienst w32time auf [SERVER1] wurde beendet.
Ungültiger Diensttyp: NETLOGON auf SERVER1; aktueller Wert: WIN32_SHARE_PROCESS; erwarteter Wert: WIN32_SHARE_PROCESS

SERVER1 hat den Test Services nicht bestanden.
Achtung: Fehler beim Aufrufen von DcGetDcName(TIME_SERVER): 1355
Es wurde kein Zeitserver gefunden.
Der Server mit der Rolle für den primären Domänencontroller ist nicht verfügbar.
Achtung: Fehler beim Aufrufen von DcGetDcName(GOOD_TIME_SERVER_PREFERRED): 1355
Es wurde kein geeigneter Zeitserver gefunden.

meine.domain.de hat den Test LocatorCheck nicht bestanden.

Überprüfe mal die Uhrzeiten der Server & die w32time Einstellungen. https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-c ...

Grüße

lcer

... und noch zwei dumme Fragen zu Basics:

wie sind denn die DNS-Clients configuriert? Also was steht bei ipconfig /all bei den DCs.
Und was ist mit IPv6?

Grüße

lcer

An Dich vielen Dank, dass Du aus dem Post mal etwas herausgefiltert hast.

Bitte formatiere das nächste Mal Programmausgaben in Code-Blöcken.
Das macht die Diagnose übersichtlicher.

Das sieht dann so aus.

Kollege @dodo30 war so freundlich und hat da etwas herausgefiltert, das wichtig ist.

Es scheint so, dass einer der DCs in einen Sperrzustand abgedriftet ist.

Das kann passieren, wenn die Büchse auf falschem Weg zurückgesetzt wird. Sollte die Maschine zum Beispiel virtualisiert sein, wird beim Zurücksetzen auf einen vorausgehenden Snapshot immer dieses Verhalten aufkommen.

So nun zum Kern des Ganzen:

Ich nehme nicht an, dass DNS das Problem ist. Ich rate Dir erstmal dazu herauszufinden, welcher der DCs überhaupt noch korrekt arbeitet. Und hier kann das Problem liegen, dass auch der kaputte immernoch seinen Dienst tut.

Um ein besseres Gefühl zu bekommen, wer der Übeltäter ist, möchte ich Dich bitten,

auf beiden DCs den Befehl "repadmin /showrepl" auszuführen und mir mitzuteilen, was bei DSA-Optionen steht.

Dann machst Du bitte noch folgendes:

Auf beiden DCs gehst Du in die Registry in diesen Schlüssel: HKLM\System\CurrentControlSet\Services\NTDS\Parameters.
Schau mal nach ob irgendeiner der beiden ein "DSA Not Writable"-Wert drin hat und auf was der steht.

… und dabei habe ich mir so viel Mühe gemacht

werde ich mal probieren das nächste mal..

Moin zusammen und herzlichen Dank an alle!

ich habe tatsächlich wegen dem angehaltenen Netlogon-Service heruasgefunden, dass in der Registry der
DSA-Not-Writable Wert nicht gestimmt hat.
weiß nicht mehr was drin stand aber den habe ich auf 0 gesetzt und schwupps, gings wieder mit der Anmeldung.

nachdem der 2. DC sowas von verkrüppelt war, habe ich den wieder zurückgestuft, gezwungen.... hat auch funktioniert.
Die Metadaten auf dem 1. DC gelöscht, AD gesäubert, in meiner ersten Zone im DNS wollte er nicht verschwinden, aber die habe ich kurzerhand gelöscht und neu erstellt. jetzt ist der 2. DC komplett verschwunden, als wäre er nie da gewesen.

alle Events mal vom 1.DC gelöscht und neu gestartet und siehe da, das eventlog ist sauber, alle Fehler waren wohl Folge von der verkrüppelten Replikation mit dem 2. DC

Nachdem der eh nur als Test laufen sollte, weine ich dem keine Träne nach, der Plan ist, zwei komplett neue DCs ins Netz zu nehmen und die Ebene komplett auf 2016 zu ziehen. wird bestimmt auch spannend für mich als Laie.

die neuen HPs sind schneller und verbrauchen zu zweit so viel wie mein alter DC.... also nur Vorteile... und die beiden haben immerhin jetzt 10GbE karten drin (wurde ja auch mal Zeit

)

noch einen off-topic: Hat jemand eine Ahnung, warum meine WOrkstation die einzige im Netzwerk hier ist, die die anderen Netzwerkcomputer nicht sieht? andere Win7 Computer und Win10 Clients haben alle sofort alle Server und Clients in der Netzwerkumgebung...
braucht man nicht unbedingt, bin aber hier noch Oldschool, das war schon immer so und das möchte ich wieder haben

Mit dem SMB Zeugs habe ich schon herumprobiert, da passiert nix...

Danke euch nochmal und viele Grüße,
Cisco

Zitat von @Cisco7971:

Moin zusammen und herzlichen Dank an alle!

Dann setze die Frage bitte auch auf gelöst und markiere bitte alle Kommentare, die hierbei hilfreich waren und zur Lösung beitrugen.

ich habe tatsächlich wegen dem angehaltenen Netlogon-Service heruasgefunden, dass in der Registry der
DSA-Not-Writable Wert nicht gestimmt hat.
weiß nicht mehr was drin stand aber den habe ich auf 0 gesetzt und schwupps, gings wieder mit der Anmeldung.

Ich finde das gruselig, denn der Tipp, den ich der gab, setzt genaue Analyse voraus, da Du mit blindem Aktionismus hier zwar Glück haben kannst, aber Du kannst auch die letzte Bremse lösen, die den Absturz in den Abgrund noch verhindert.

nachdem der 2. DC sowas von verkrüppelt war, habe ich den wieder zurückgestuft, gezwungen.... hat auch funktioniert.
Die Metadaten auf dem 1. DC gelöscht, AD gesäubert, in meiner ersten Zone im DNS wollte er nicht verschwinden, aber die habe ich kurzerhand gelöscht und neu erstellt. jetzt ist der 2. DC komplett verschwunden, als wäre er nie da gewesen.

alle Events mal vom 1.DC gelöscht und neu gestartet und siehe da, das eventlog ist sauber, alle Fehler waren wohl Folge von der verkrüppelten Replikation mit dem 2. DC

Nachdem der eh nur als Test laufen sollte, weine ich dem keine Träne nach, der Plan ist, zwei komplett neue DCs ins Netz zu nehmen und die Ebene komplett auf 2016 zu ziehen. wird bestimmt auch spannend für mich als Laie.

die neuen HPs sind schneller und verbrauchen zu zweit so viel wie mein alter DC.... also nur Vorteile... und die beiden haben immerhin jetzt 10GbE karten drin (wurde ja auch mal Zeit

Mit dem SMB Zeugs habe ich schon herumprobiert, da passiert nix...

Setze erstmal diesen Thread bitte auf gelöst. Das wäre nur fair.

BIN DRAUẞEN!

gelöst Frage Microsoft Windows Server

Mehr von Cisco7971

Intelligent Platform Abstraction DataCisco7971 - 3 Kommentare

Kontrollbildschirm - ethernet display - Videoschirm - KamerabildschirmCisco7971 - 2 Kommentare

HP MSA 60 Erfahrungsberichte max. Größe logisches Volume auf ControllerCisco7971 - 7 Kommentare

Heiß diskutiert