24.01.2012

13235

AD defekt - niemand kann sich anmelden

In unseren Netz in Berlin Mitte kann sich niemand mehr anmelden.
Wir wissen nicht weiter.

Dringend SupporterIn für AD bzw. DC auf 2003er-Server gesucht.
Kann jemand helfen oder eine Firma in Berlin nennen, die das kann?

Fehlermeldungen im Sys-Log, dass das AD beschädigt sei.
Dabei brauchen wir Hilfe.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 179448

Url: https://administrator.de/contentid/179448

Ausgedruckt am: 05.11.2024 um 15:11 Uhr

14 Kommentare

Neuester Kommentar

Hi,

habt ihr keinen 2ten DC im Netz?

greetz
ravers

P.S.: Ich kenne niemanden aus Berlin. Aber vielleicht bekommt man`s so hin ;)

Hey,

lass mal ein paar mehr Infos springen. Hier gibt es sicherlich genügend Leute, die dir weiterhelfen können

Habt ihr einen DC oder mehrere ?
Welches Betriebssystem ?
Welche Fehlermeldungen im SysLog ?

führ mal den Befehl dcdiag in der Kommandozeile (cmd) aus und poste das Ergebnis. Wenn du Windows 2003 einsetzt, musst du noch die Support Tools runterladen (darin ist dcdiag enthalten).

Edit : Sorry überlesen. OS ist Server 2003, richtig ?

Moin moin

Kann jemand helfen

Nicht ohne mehr infos (siehe Vorposter).

... oder eine Firma in Berlin nennen, die das kann?

Ich würde mich an den Laden wenden, der die Kiste aufgestellt hat.
Ansonsten: Gelbe Seiten.

Gruß L.

Im Netz sind nur ein Dutzend Clients, da ist ein 2. DC etws überdiemensioniert, oder?
Trotzdem habe ich einen aufgesetzt. Funktioniert an sich auch.
Aber die Probleme werden mitrepliziert. Das war irgendwie auch zu erwarten.

Ich würde mich an den Laden wenden, der die Kiste aufgestellt hat.

Die Firma ist von heute auf morgen verschwunden: Laden vernagelt, Telefone abgestellt.

Ansonsten: Gelbe Seiten.

Wir haben rund ein Dutzend Firmen angerufen.
- 4 Firmen sagen, sie haben in den nächsten 2 Wochen keine Ressourcen frei
- 2 Firmen gehen nicht ans Telefon, kein AB
- 1 Fa. sagt, sie ruft zurück: macht sie nicht
- 3 mal »Server machen wir nicht«
- 1 mal Stundensatz 245 € netto
- 3 mal werden wir gebeten, später noch mal anzurufen, wenn der kompetente Kollege da ist; der ist aber nie da (jeweils drei mal probiert)

Da verliert man echt den Glauben. Wenn ich das Geld hätte, würde ich einen Admin-Kurs machen.

Habt ihr einen DC oder mehrere ?

Eigentlich nur einen, habe aber zur Fehlersuche und -behebung schnell einen Neuen aufgesetzt.

Welches Betriebssystem ?

W2033- Server

Welche Fehlermeldungen im SysLog ?

Da finden sich so einige – ich fang mal an …

1. CertSvc

Ereignistyp:	FehlerEreignisquelle:	CertSvcEreigniskategorie:	KeineEreigniskennung:	44Datum:		25.01.2012Zeit:		00:16:34Benutzer:		Nicht zutreffendComputer:	RAHSRV01Beschreibung:Richtlinienmodul "Windows-Standard", Methode "Initialize", hat einen Fehler verursacht. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Zurückgegebener Statuscode: 0x8007054b (1355). Es konnte keine Verbindung mit dem Active Directory, das die Zertifizierungsstelle enthält, hergestellt werden.

2. Höher/Tieferstufen

Ereignistyp:	WarnungEreignisquelle:	MSDTCEreigniskategorie:	SVCEreigniskennung:	53258Datum:		25.01.2012Zeit:		00:16:11Benutzer:		Nicht zutreffendComputer:	RAHSRV01Beschreibung:MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: %1

Ereignistyp:	WarnungEreignisquelle:	MSDTCEreigniskategorie:	SVCEreigniskennung:	53258Datum:		25.01.2012Zeit:		00:16:11Benutzer:		Nicht zutreffendComputer:	RAHSRV01Beschreibung:MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1532No Callstack, CmdLine: C:\WINDOWS\system32\msdtc.exeDaten: 0000: 05 00 07 80               ...

Merkwürdig finde ich, dass hier im Pfad Laufwerk D: steht — das System ist auf C:; auf D: gibt es kein Verzeichnis \nt — komisch.

führ mal den Befehl dcdiag in der Kommandozeile (cmd) aus und poste das Ergebnis.

Domain Controller DiagnosisPerforming initial setup:    Done gathering initial info.Doing initial required tests   Testing server: Standardname-des-ersten-Standorts\RAHSRV01      Starting test: Connectivity         ......................... RAHSRV01 passed test ConnectivityDoing primary tests   Testing server: Standardname-des-ersten-Standorts\RAHSRV01      Starting test: Replications         ......................... RAHSRV01 passed test Replications      Starting test: NCSecDesc         ......................... RAHSRV01 passed test NCSecDesc      Starting test: NetLogons         ......................... RAHSRV01 passed test NetLogons      Starting test: Advertising         ......................... RAHSRV01 passed test Advertising      Starting test: KnowsOfRoleHolders         ......................... RAHSRV01 passed test KnowsOfRoleHolders      Starting test: RidManager         ......................... RAHSRV01 passed test RidManager      Starting test: MachineAccount         ......................... RAHSRV01 passed test MachineAccount      Starting test: Services         ......................... RAHSRV01 passed test Services      Starting test: ObjectsReplicated         ......................... RAHSRV01 passed test ObjectsReplicated      Starting test: frssysvol         ......................... RAHSRV01 passed test frssysvol      Starting test: frsevent         There are warning or error events within the last 24 hours after the         SYSVOL has been shared.  Failing SYSVOL replication problems may cause         Group Policy problems.         ......................... RAHSRV01 failed test frsevent      Starting test: kccevent         ......................... RAHSRV01 passed test kccevent      Starting test: systemlog         ......................... RAHSRV01 passed test systemlog      Starting test: VerifyReferences         ......................... RAHSRV01 passed test VerifyReferences   Running partition tests on : ForestDnsZones      Starting test: CrossRefValidation         ......................... ForestDnsZones passed test CrossRefValidation      Starting test: CheckSDRefDom         ......................... ForestDnsZones passed test CheckSDRefDom   Running partition tests on : DomainDnsZones      Starting test: CrossRefValidation         ......................... DomainDnsZones passed test CrossRefValidation      Starting test: CheckSDRefDom         ......................... DomainDnsZones passed test CheckSDRefDom   Running partition tests on : Schema      Starting test: CrossRefValidation         ......................... Schema passed test CrossRefValidation      Starting test: CheckSDRefDom         ......................... Schema passed test CheckSDRefDom   Running partition tests on : Configuration      Starting test: CrossRefValidation         ......................... Configuration passed test CrossRefValidation      Starting test: CheckSDRefDom         ......................... Configuration passed test CheckSDRefDom   Running partition tests on : intern      Starting test: CrossRefValidation         ......................... intern passed test CrossRefValidation      Starting test: CheckSDRefDom         ......................... intern passed test CheckSDRefDom   Running enterprise tests on : intern.rahoffmann.de      Starting test: Intersite         ......................... intern.rahoffmann.de passed test Intersite      Starting test: FsmoCheck         ......................... intern.rahoffmann.de passed test FsmoCheckC:\Dokumente und Einstellungen\Administrator>

Mehr Syslog:

Ereignistyp:	WarnungEreignisquelle:	SRMSVCEreigniskategorie:	KeineEreigniskennung:	12317Datum:		24.01.2012Zeit:		23:41:30Benutzer:		Nicht zutreffendComputer:	RAHSRV01Beschreibung:Der Ressourcen-Manager für Dateiserver hat einen Fehler beim Aufzählen von Freigabe- oder DFS-Pfaden ermittelt. Zuordnungen von lokalen Dateipfaden zu Freigabe- und DFS-Pfaden sind möglicherweise unvollständig oder zeitweilig nicht verfügbar. FSRM wird versuchen, diesen Vorgang zu einem späteren Zeitpunkt erneut auszuführen. Fehlerspezifische Details:   Fehler: (0x8007054b) Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.Daten:0000: 50 4d 43 41 43 48 45 43   PMCACHEC0008: 37 36 36 00 00 00 00 00   766.....0010: 50 4d 43 41 43 48 45 43   PMCACHEC0018: 37 33 38 00 00 00 00 00   738.....

noch mehr:

Ereignistyp:	FehlerEreignisquelle:	DNSEreigniskategorie:	KeineEreigniskennung:	4004Datum:		22.01.2012Zeit:		22:37:55Benutzer:		Nicht zutreffendComputer:	RAHSRV01Beschreibung:Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "intern.rahoffmann.de" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.Daten:0000: 2a 23 00 00               *#..

mehr, immer mehr:

Ereignistyp:	FehlerEreignisquelle:	DNSEreigniskategorie:	KeineEreigniskennung:	4000Datum:		08.01.2012Zeit:		19:32:53Benutzer:		Nicht zutreffendComputer:	RAHSRV01Beschreibung:Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu.  Die Ereignisdaten enthalten den Fehlercode.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.Daten:0000: 2a 23 00 00               *#..

Ereignistyp:	FehlerEreignisquelle:	DNSEreigniskategorie:	KeineEreigniskennung:	4011Datum:		08.01.2012Zeit:		18:32:46Benutzer:		Nicht zutreffendComputer:	RAHSRV01Beschreibung:Die Aktualisierung oder das Hinzufügen der Domänennamen "rahsrv01" in Zone "intern.rahoffmann.de" im  Active Directory konnte nicht durchgeführt werden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert und fügen Sie diese Domäne hinzu  bzw. aktualisieren Sie sie unter Verwendung der DNS-Konsole. Der erweiterte Fehlerdebugeintrag (der eventuell leer ist), ist "". Die Ereignisdaten enthalten den Fehlercode.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.Daten:0000: 2a 23 00 00               *#..

Fehler: 54b

Ereignistyp:	FehlerEreignisquelle:	PrintEreigniskategorie:	KeineEreigniskennung:	33Datum:		25.01.2012Zeit:		00:16:55Benutzer:		NT-AUTORITÄT\SYSTEMComputer:	RAHSRV01Beschreibung:Der Warteschlangencontainer wurde nicht gefunden, da der DNS-Domänenname nicht abgefragt werden konnte. Fehler: 54b

KDC

Ereignistyp:	FehlerEreignisquelle:	KDCEreigniskategorie:	KeineEreigniskennung:	5Datum:		25.01.2012Zeit:		00:15:50Benutzer:		Nicht zutreffendComputer:	RAHSRV01Beschreibung:Der KDC hat die Richtlinienklasse 6 nicht aktualisiert. Der Fehler befindet sich in den Daten.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.Daten:0000: 00 00 00 00               ....

hmm ich jetzt mal die Domäne nehme, ist es schon Fahrlässig das ihr nur einen DC und keinen Wartungsvertrag mit einem Systemhaus habt, das ggf. Zertifiziert ist für Steuerberater und Anwälte, ich würde dem für 245 EUR nehmen, sofern der MS Zertifiziertes Personal hat - das ist immer noch billiger wie Tage nicht arbeiten können.

Deutschlandweit agierendes Systemhaus wüste ich nur Bechtle - gibt aber sicherlich noch weitere Große - die machen es dann für rund 120-150 EUR /h (was normal ist)

Moinsens Tatze,

ich habe mir mal die Logs angeschaut. Dabei fiel mir auf:

"Richtlinienmodul "Windows-Standard", Methode "Initialize", hat einen Fehler verursacht. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Zurückgegebener Statuscode: 0x8007054b (1355). Es konnte keine Verbindung mit dem Active Directory, das die Zertifizierungsstelle enthält, hergestellt werden."

Dazu meine Frage, meldest Du dich am Server oder auf einer Workstation an?
Versuch es auf jeden Fall mal am Server, da der Anteil der Workstation-Anmeldung des Login-Prozesses gestört ist (Statuscode: 0x8007054b).

Siehe dazu: http://www.windows-faq.de/2010/07/23/fehlermeldung-0x8007054b-ereignisk ...

Aber bevor du dich an das o. a. machst, schau dir eure Gruppenrichtlinien genau an. Nimm dir einen Fachmann vor Ort dazu!!
Du könntest es u. U. sonst verschlimmbessern.

OW

Ah, super Hinweis! Danke schön.

Zur Frage: ich melde mich als administrator an der Konsole an.

Hi,

wir hatten so einen Fall mal bei einem Kunden. Ich kann mich nicht mehr genau erinnern welche Datei... aber wir haben damals aus der Datensicherung AD-Dateien wieder hergestellt. Somit konnten sich die User vorübergehen wieder anmelden.

Keine Ahnung ob das in deinem Fall auch helfen würde. Ich kann mal gucken ob ich noch Infos zu dem Fall finde, falls Interesse besteht. Versprechen kann ich aber nichts.

Grüße

Taramur

So OK nochmal langsam.

1. Was ist passiert der Server verreckt? Neu aufgesetzt ? Sicherung zurück?

1. Was ist passiert der Server verreckt?

Noch nicht komplett. Nach einem Neustart geht für ein paar Stunden alles wieder.

Neu aufgesetzt ?

Jein. Ich habe einen neuen DC aufgesetzt und gekoppelt (Benutzerverwaltung wird repliziert).
Die Fehler sind jedoch leider mit repliziert worden: aus den obigen Fehlermeldungen geh ja hervor, dass "der Fehler im AD ist" bzw. "in den Daten".
Ich habe daher bisher davor gescheut, den neuen DC mit neuem AD zu konfigurieren, da ja dann auf den Clients die alten User des alten (defekten) AD nicht mehr nutzbar wären.
Natürlich könnte ich die User des neuen AD mit den PST-Dateien der alten User ausstatten. Aber den ganzen Konfigurationsaufwand an den Clients würde ich mir gerne sparen.
Mir wäre eine Reparatur des AD lieber.

Sicherung zurück?

Und dann? Die Fehlermeldungen finden sich schon lange im Ereignisprotokoll.
Wenn ich auf ein sehr altes Backup zurückgreifen würde, wären sie vielleicht noch nicht vorhanden.
Aber woher weiß ich, ob die Ursache nicht trotzdem bereits vorhanden ist, weil der DC vielleicht von Anfang an falsch konfiguriert war?

Ein Haupt-Teilproblem ist wohl, dass ich von DC bzw. AD eigentlich keine Ahnung habe