itze80
Goto Top

Active Directory repliziert keine Organisations Einheiten (OU) an neuen DC

Hallo liebe Admins,

ich habe ein Problem:

In einem vorhandenen Netzwerk gibt es zwei (virtualisierte) Domain Controler, einer auf Basis Windows Server 2003 und einer mit Windows Server 2008. Das gemeinsame Funktionslevel ist Server 2003.
Nun soll der 2003er Server gegen einen 2012 R2 ersetzt werden. Dazu habe ich einen (virtualisierten) Server 2012 R2 aufgesetzt und bin diesen Anleitungen gefolgt:

http://blogs.technet.com/b/canitpro/archive/2013/05/05/step-by-step-add ...

http://blogs.technet.com/b/canitpro/archive/2014/04/02/step-by-step-act ...

Die Kurzfassung daraus:

Habe den 2012er in die Domain geholt, habe die AD Rolle installiert und anschließend den Server zum DC heraufgestuft. Danach habe ich den 2012er zum Betriebsmaster, PDC etc. gemacht, so wie es in der Anleitung beschrieben ist.

Jetzt kämpfe ich aber mit folgendem Problem:

Die User wurden alle korrekt auf den neuen Server repliziert und auch Anmeldeskripte etc. wurden übernommen. Aber es wurden keine Organisations Einheiten repliziert, genuer: ich kann die zwar sehen, aber es sind keine Objekte darin. Auf den alten DCs gibt es z.B.eine OU von einer Citrix-Installation. Darin sind Gruppen definiert, die im neuen 2012er Server fehlen. Das ist schonmal komisch weil sonst alles wunderbar geklappt hat. Jetzt kommt aber der Witz an der Sache:

Wenn ich auf einem der alten DCs eine OU erstelle die ich 'Test' nenne, wird die nach wenigen Sekunden auf dem neuen 2012er Server auch angezeigt. Erstelle ich auf einem der alten DCs eine Gruppe 'Testgruppe' in der OU 'Test' erscheint die auf dem anderen alten DC nach wenigen Sekunden, auf dem neuen 2012er nicht. Wenn ich auf dem neuen 2012er DC eine Gruppe 'Testgruppe2' in der OU 'Test' anlege, sehe ich die für wenige Sekunden, dann veschwindet sie. Auf den alten Servern taucht sie dann aber auf, wird also erfolgreich repliziert.

Hat jemand eine Idee warum sich der neue 2012er Server so verhält? Ich bin leider kein AD-Spezialist. Habe gestern noch stundenlang gegoogelt, aber außer mir scheint niemand ein solches Problem zu haben...

Vielen Dank im Voraus!

Itze

Content-ID: 271768

Url: https://administrator.de/forum/active-directory-repliziert-keine-organisations-einheiten-ou-an-neuen-dc-271768.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

Chonta
Chonta 12.05.2015 um 09:26:11 Uhr
Goto Top
Hallo,

gleich die FMSO umzuziehen war keine gute Idee.
Was sagen Netdom Query FSMO ausgeführt auf den einzelnen DC selber?
Was sagt dcdiag?
Was sagen die Logfiles?
Was sagt das DNS?

Gruß

Chonta
itze80
itze80 12.05.2015 um 09:54:51 Uhr
Goto Top
Hallo Chonta,

danke für die schnelle Antwort!

Netdom Query FSMO zeigt auf allen DCs den neuen Server als PDC, Master etc.

DCDiag (auf neuem Server ausgeführt):

Alle Test bestanden, mit Ausnahme von:


FrsEvent: Für den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind Warnungen oder Fehlerereignisse vorhanden. Fehler bei der SYSVOL-Replikation können Probleme mit der Gruppenrichtlinie zur Folge haben.
SP-DOM1-2012 hat den Test FrsEvent nicht bestanden.

Replications
[SP-DC-1] DsBindWithSpnEx()-Fehler 1722. Der RPC-Server ist nicht verfügbar..
Der Test Replications für SP-DOM1-2012 ist fehlgeschlagen

Anmerkung: SP-DC-1 ist der alte 2003er Server.


In der Ereignisanzeige unter System kann ich nichts außergewöhnliches Endtdecken.

Wie finde ich heraus was das DNS sagt?
Chonta
Chonta 12.05.2015 aktualisiert um 14:51:57 Uhr
Goto Top
Hallo,

in den DNS-Logfiles, System Logs des Server.
Ich würde fast sagen bei dem Server 2012 ist noch was mit der Firewall nicht richtig.
Ist es ein 2012 oder 2012R2?
Ich hatte mit einem 2012R2 keinerlei Problme gehabt

Da der 2012 der FMSO Master ist, solltest Du erstmal NUR dort neue sachen anlegen.
Aber die anderen werden sich im Moment denke ich auch keine neuen sachen holen.
Holt sich der 2008ter auch nix ?
Früher hies das tool zum checken der Replikation replmon, hat aber auch einen Nachfolger.

Gruß

Chonta


https://support.microsoft.com/en-us/kb/2102154
itze80
itze80 26.05.2015 um 09:48:04 Uhr
Goto Top
Hallo Chonta,

danke erstmal für die Antworten.

Der 2003er und der 2008er holen sich alle Änderungen die ich am 2012 (R2) mache oder am 2008er oder 2003er mache.
Das Problem ist dass die OUs nicht am 2012er angezeigt werden, wenn sie am 2003er oder 2008er erstellt oder geändert werden.
Wenn ich am 2012er eine OU erstelle, dann erscheint sie am 2003er und am 2008er, verschwindet aber nach wenigen Sekunden am 2012er und wird dann nicht mehr angezeigt. Am 2003er und 2008er kann ich die OUs dann aber sehen und auch bearbeiten, also z.B. Gruppen hinzufügen. Das wird alles wunderbar zwischen dem 2003er und dem 2008er repliziert. Nur am 2012er taucht dann nichts auf.

Ich habe mir wirklich die Finger wund geggogelt, aber das scheint so in der Form noch nie aufgetreten zu sein.
Es ist schon merkwürdig dass man am 2012er Änderungen machen kann, die dann innerhalb weniger Sekunden nicht mehr angezeigt werden, aber astrein repliziert werden.... Verrückt...
Chonta
Chonta 26.05.2015 um 10:08:43 Uhr
Goto Top
Hallo,

wegen deinem FrsEvent kannst Du davon ausgehen das da die Replikation nicht wirklich stimmt.

https://social.technet.microsoft.com/Forums/windowsserver/en-US/451a8dcd ...

In dem Beitrag wird u nter anderem ein Virenscanner angesprochen, tödlich auf einem DC, wenn der Antivirenscanner nicht richtig konfiguriert ist und die AD-Datenbank in ruhe läßt.
Im AD Snapin, kannst Du Dich mit jedem DC verbinden den Du aussuchst, je nachdem ob die Einstellungne Repliziert wurden, ist es sichtbar ode rnicht.
Objekte die auf einem DC angelegt werden verschwindne auf diesem auch nicht einfach so (nu durch löschen oder Fehler in der Matrix)

Gruß

Chonta