tatzeberlin
Goto Top

AD defekt - niemand kann sich anmelden

In unseren Netz in Berlin Mitte kann sich niemand mehr anmelden.
Wir wissen nicht weiter.

Dringend SupporterIn für AD bzw. DC auf 2003er-Server gesucht.
Kann jemand helfen oder eine Firma in Berlin nennen, die das kann?

Fehlermeldungen im Sys-Log, dass das AD beschädigt sei.
Dabei brauchen wir Hilfe.

Content-ID: 179448

Url: https://administrator.de/contentid/179448

Ausgedruckt am: 26.11.2024 um 01:11 Uhr

Ravers
Ravers 24.01.2012 um 13:44:16 Uhr
Goto Top
Hi,

habt ihr keinen 2ten DC im Netz?

greetz
ravers

P.S.: Ich kenne niemanden aus Berlin. Aber vielleicht bekommt man`s so hin ;)
exellent
exellent 24.01.2012 um 14:17:04 Uhr
Goto Top
Hey,

lass mal ein paar mehr Infos springen. Hier gibt es sicherlich genügend Leute, die dir weiterhelfen können face-smile

Habt ihr einen DC oder mehrere ?
Welches Betriebssystem ?
Welche Fehlermeldungen im SysLog ?

führ mal den Befehl dcdiag in der Kommandozeile (cmd) aus und poste das Ergebnis. Wenn du Windows 2003 einsetzt, musst du noch die Support Tools runterladen (darin ist dcdiag enthalten).

Edit : Sorry überlesen. OS ist Server 2003, richtig ?
Logan000
Logan000 25.01.2012 um 08:37:55 Uhr
Goto Top
Moin moin

Kann jemand helfen
Nicht ohne mehr infos (siehe Vorposter).

... oder eine Firma in Berlin nennen, die das kann?
Ich würde mich an den Laden wenden, der die Kiste aufgestellt hat.
Ansonsten: Gelbe Seiten.

Gruß L.
TatzeBerlin
TatzeBerlin 25.01.2012 um 11:43:44 Uhr
Goto Top
Im Netz sind nur ein Dutzend Clients, da ist ein 2. DC etws überdiemensioniert, oder?
Trotzdem habe ich einen aufgesetzt. Funktioniert an sich auch.
Aber die Probleme werden mitrepliziert. Das war irgendwie auch zu erwarten.
TatzeBerlin
TatzeBerlin 25.01.2012 um 12:29:10 Uhr
Goto Top
Ich würde mich an den Laden wenden, der die Kiste aufgestellt hat.

Die Firma ist von heute auf morgen verschwunden: Laden vernagelt, Telefone abgestellt.

Ansonsten: Gelbe Seiten.

Wir haben rund ein Dutzend Firmen angerufen.
- 4 Firmen sagen, sie haben in den nächsten 2 Wochen keine Ressourcen frei
- 2 Firmen gehen nicht ans Telefon, kein AB
- 1 Fa. sagt, sie ruft zurück: macht sie nicht
- 3 mal »Server machen wir nicht«
- 1 mal Stundensatz 245 € netto
- 3 mal werden wir gebeten, später noch mal anzurufen, wenn der kompetente Kollege da ist; der ist aber nie da (jeweils drei mal probiert)

Da verliert man echt den Glauben. Wenn ich das Geld hätte, würde ich einen Admin-Kurs machen.
TatzeBerlin
TatzeBerlin 25.01.2012 um 12:57:11 Uhr
Goto Top
Habt ihr einen DC oder mehrere ?

Eigentlich nur einen, habe aber zur Fehlersuche und -behebung schnell einen Neuen aufgesetzt.


Welches Betriebssystem ?

W2033- Server


Welche Fehlermeldungen im SysLog ?

Da finden sich so einige – ich fang mal an …

1. CertSvc
Ereignistyp: FehlerEreignisquelle: CertSvcEreigniskategorie: KeineEreigniskennung: 44Datum: 25.01.2012Zeit: 00:16:34Benutzer: Nicht zutreffendComputer: RAHSRV01Beschreibung:Richtlinienmodul "Windows-Standard", Methode "Initialize", hat einen Fehler verursacht. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Zurückgegebener Statuscode: 0x8007054b (1355). Es konnte keine Verbindung mit dem Active Directory, das die Zertifizierungsstelle enthält, hergestellt werden.


2. Höher/Tieferstufen
Ereignistyp: WarnungEreignisquelle: MSDTCEreigniskategorie: SVCEreigniskennung: 53258Datum: 25.01.2012Zeit: 00:16:11Benutzer: Nicht zutreffendComputer: RAHSRV01Beschreibung:MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: %1


3.
Ereignistyp: WarnungEreignisquelle: MSDTCEreigniskategorie: SVCEreigniskennung: 53258Datum: 25.01.2012Zeit: 00:16:11Benutzer: Nicht zutreffendComputer: RAHSRV01Beschreibung:MS DTC konnte das Höher-/Tieferstufen eines Domänencontrollers nicht ordnungsgemäß verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehler: d:\nt\com\complus\dtc\dtc\adme\uiname.cpp:9351, Pid: 1532No Callstack, CmdLine: C:\WINDOWS\system32\msdtc.exeDaten: 0000: 05 00 07 80 ...€
Merkwürdig finde ich, dass hier im Pfad Laufwerk D: steht — das System ist auf C:; auf D: gibt es kein Verzeichnis \nt — komisch.


führ mal den Befehl dcdiag in der Kommandozeile (cmd) aus und poste das Ergebnis.

Domain Controller DiagnosisPerforming initial setup: Done gathering initial info.Doing initial required tests Testing server: Standardname-des-ersten-Standorts\RAHSRV01 Starting test: Connectivity ......................... RAHSRV01 passed test ConnectivityDoing primary tests Testing server: Standardname-des-ersten-Standorts\RAHSRV01 Starting test: Replications ......................... RAHSRV01 passed test Replications Starting test: NCSecDesc ......................... RAHSRV01 passed test NCSecDesc Starting test: NetLogons ......................... RAHSRV01 passed test NetLogons Starting test: Advertising ......................... RAHSRV01 passed test Advertising Starting test: KnowsOfRoleHolders ......................... RAHSRV01 passed test KnowsOfRoleHolders Starting test: RidManager ......................... RAHSRV01 passed test RidManager Starting test: MachineAccount ......................... RAHSRV01 passed test MachineAccount Starting test: Services ......................... RAHSRV01 passed test Services Starting test: ObjectsReplicated ......................... RAHSRV01 passed test ObjectsReplicated Starting test: frssysvol ......................... RAHSRV01 passed test frssysvol Starting test: frsevent There are warning or error events within the last 24 hours after the SYSVOL has been shared. Failing SYSVOL replication problems may cause Group Policy problems. ......................... RAHSRV01 failed test frsevent Starting test: kccevent ......................... RAHSRV01 passed test kccevent Starting test: systemlog ......................... RAHSRV01 passed test systemlog Starting test: VerifyReferences ......................... RAHSRV01 passed test VerifyReferences Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ......................... ForestDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Running partition tests on : DomainDnsZones Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : intern Starting test: CrossRefValidation ......................... intern passed test CrossRefValidation Starting test: CheckSDRefDom ......................... intern passed test CheckSDRefDom Running enterprise tests on : intern.rahoffmann.de Starting test: Intersite ......................... intern.rahoffmann.de passed test Intersite Starting test: FsmoCheck ......................... intern.rahoffmann.de passed test FsmoCheckC:\Dokumente und Einstellungen\Administrator>
TatzeBerlin
TatzeBerlin 25.01.2012 um 15:15:43 Uhr
Goto Top
Mehr Syslog:

Ereignistyp: WarnungEreignisquelle: SRMSVCEreigniskategorie: KeineEreigniskennung: 12317Datum: 24.01.2012Zeit: 23:41:30Benutzer: Nicht zutreffendComputer: RAHSRV01Beschreibung:Der Ressourcen-Manager für Dateiserver hat einen Fehler beim Aufzählen von Freigabe- oder DFS-Pfaden ermittelt. Zuordnungen von lokalen Dateipfaden zu Freigabe- und DFS-Pfaden sind möglicherweise unvollständig oder zeitweilig nicht verfügbar. FSRM wird versuchen, diesen Vorgang zu einem späteren Zeitpunkt erneut auszuführen. Fehlerspezifische Details: Fehler: (0x8007054b) Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden.Daten:0000: 50 4d 43 41 43 48 45 43 PMCACHEC0008: 37 36 36 00 00 00 00 00 766.....0010: 50 4d 43 41 43 48 45 43 PMCACHEC0018: 37 33 38 00 00 00 00 00 738.....


noch mehr:
Ereignistyp: FehlerEreignisquelle: DNSEreigniskategorie: KeineEreigniskennung: 4004Datum: 22.01.2012Zeit: 22:37:55Benutzer: Nicht zutreffendComputer: RAHSRV01Beschreibung:Der DNS-Server konnte die Aufzählung der Verzeichnisdienste der Zone "intern.rahoffmann.de" nicht vollständig durchführen. Dieser DNS-Server ist so konfiguriert, dass er Verzeichnisdienstinformationen für diese Zone benötigt, und kann diese ohne diese Informationen nicht laden. Überprüfen Sie, dass das Active Directory richtig funktioniert und wiederholen Sie die Aufzählung der Zone. Die erweiterte Fehlerdebuginformation (die eventuell leer ist) ist "". Die Ereignisdaten enthalten den Fehlercode.Daten:0000: 2a 23 00 00 *#..


mehr, immer mehr:
Ereignistyp: FehlerEreignisquelle: DNSEreigniskategorie: KeineEreigniskennung: 4000Datum: 08.01.2012Zeit: 19:32:53Benutzer: Nicht zutreffendComputer: RAHSRV01Beschreibung:Der DNS-Server konnte Active Directory nicht öffnen. Dieser DNS-Server ist für die Verwendung von Informationen vom Verzeichnis für diese Zone konfiguriert und kann die Zone ohne es nicht laden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert, und laden Sie die Zone neu. Die Ereignisdaten enthalten den Fehlercode.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.Daten:0000: 2a 23 00 00 *#..


Ereignistyp: FehlerEreignisquelle: DNSEreigniskategorie: KeineEreigniskennung: 4011Datum: 08.01.2012Zeit: 18:32:46Benutzer: Nicht zutreffendComputer: RAHSRV01Beschreibung:Die Aktualisierung oder das Hinzufügen der Domänennamen "rahsrv01" in Zone "intern.rahoffmann.de" im Active Directory konnte nicht durchgeführt werden. Stellen Sie sicher, dass das Active Directory ordnungsgemäß funktioniert und fügen Sie diese Domäne hinzu bzw. aktualisieren Sie sie unter Verwendung der DNS-Konsole. Der erweiterte Fehlerdebugeintrag (der eventuell leer ist), ist "". Die Ereignisdaten enthalten den Fehlercode.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.Daten:0000: 2a 23 00 00 *#..


Fehler: 54b
Ereignistyp: FehlerEreignisquelle: PrintEreigniskategorie: KeineEreigniskennung: 33Datum: 25.01.2012Zeit: 00:16:55Benutzer: NT-AUTORITÄT\SYSTEMComputer: RAHSRV01Beschreibung:Der Warteschlangencontainer wurde nicht gefunden, da der DNS-Domänenname nicht abgefragt werden konnte. Fehler: 54b


KDC
Ereignistyp: FehlerEreignisquelle: KDCEreigniskategorie: KeineEreigniskennung: 5Datum: 25.01.2012Zeit: 00:15:50Benutzer: Nicht zutreffendComputer: RAHSRV01Beschreibung:Der KDC hat die Richtlinienklasse 6 nicht aktualisiert. Der Fehler befindet sich in den Daten.Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.Daten:0000: 00 00 00 00 ....
clSchak
clSchak 25.01.2012 um 20:47:12 Uhr
Goto Top
hmm ich jetzt mal die Domäne nehme, ist es schon Fahrlässig das ihr nur einen DC und keinen Wartungsvertrag mit einem Systemhaus habt, das ggf. Zertifiziert ist für Steuerberater und Anwälte, ich würde dem für 245 EUR nehmen, sofern der MS Zertifiziertes Personal hat - das ist immer noch billiger wie Tage nicht arbeiten können.

Deutschlandweit agierendes Systemhaus wüste ich nur Bechtle - gibt aber sicherlich noch weitere Große - die machen es dann für rund 120-150 EUR /h (was normal ist)
OlafWerner
OlafWerner 30.01.2012 um 10:39:54 Uhr
Goto Top
Moinsens Tatze,

ich habe mir mal die Logs angeschaut. Dabei fiel mir auf:

"Richtlinienmodul "Windows-Standard", Methode "Initialize", hat einen Fehler verursacht. Die angegebene Domäne ist nicht vorhanden, oder es konnte keine Verbindung hergestellt werden. Zurückgegebener Statuscode: 0x8007054b (1355). Es konnte keine Verbindung mit dem Active Directory, das die Zertifizierungsstelle enthält, hergestellt werden."

Dazu meine Frage, meldest Du dich am Server oder auf einer Workstation an?
Versuch es auf jeden Fall mal am Server, da der Anteil der Workstation-Anmeldung des Login-Prozesses gestört ist (Statuscode: 0x8007054b).

Siehe dazu: http://www.windows-faq.de/2010/07/23/fehlermeldung-0x8007054b-ereignisk ...

Aber bevor du dich an das o. a. machst, schau dir eure Gruppenrichtlinien genau an. Nimm dir einen Fachmann vor Ort dazu!!
Du könntest es u. U. sonst verschlimmbessern.

OW
TatzeBerlin
TatzeBerlin 30.01.2012 um 11:13:31 Uhr
Goto Top
Ah, super Hinweis! Danke schön.

Zur Frage: ich melde mich als administrator an der Konsole an.
Taramur
Taramur 30.01.2012 um 19:39:59 Uhr
Goto Top
Hi,

wir hatten so einen Fall mal bei einem Kunden. Ich kann mich nicht mehr genau erinnern welche Datei... aber wir haben damals aus der Datensicherung AD-Dateien wieder hergestellt. Somit konnten sich die User vorübergehen wieder anmelden.

Keine Ahnung ob das in deinem Fall auch helfen würde. Ich kann mal gucken ob ich noch Infos zu dem Fall finde, falls Interesse besteht. Versprechen kann ich aber nichts.

Grüße

Taramur
MichaelGall
MichaelGall 30.01.2012 um 20:47:18 Uhr
Goto Top
So OK nochmal langsam.

1. Was ist passiert der Server verreckt? Neu aufgesetzt ? Sicherung zurück?
TatzeBerlin
TatzeBerlin 30.01.2012 um 23:37:57 Uhr
Goto Top
1. Was ist passiert der Server verreckt?

Noch nicht komplett. Nach einem Neustart geht für ein paar Stunden alles wieder.


Neu aufgesetzt ?

Jein. Ich habe einen neuen DC aufgesetzt und gekoppelt (Benutzerverwaltung wird repliziert).
Die Fehler sind jedoch leider mit repliziert worden: aus den obigen Fehlermeldungen geh ja hervor, dass "der Fehler im AD ist" bzw. "in den Daten".
Ich habe daher bisher davor gescheut, den neuen DC mit neuem AD zu konfigurieren, da ja dann auf den Clients die alten User des alten (defekten) AD nicht mehr nutzbar wären.
Natürlich könnte ich die User des neuen AD mit den PST-Dateien der alten User ausstatten. Aber den ganzen Konfigurationsaufwand an den Clients würde ich mir gerne sparen.
Mir wäre eine Reparatur des AD lieber.

Sicherung zurück?

Und dann? Die Fehlermeldungen finden sich schon lange im Ereignisprotokoll.
Wenn ich auf ein sehr altes Backup zurückgreifen würde, wären sie vielleicht noch nicht vorhanden.
Aber woher weiß ich, ob die Ursache nicht trotzdem bereits vorhanden ist, weil der DC vielleicht von Anfang an falsch konfiguriert war?

Ein Haupt-Teilproblem ist wohl, dass ich von DC bzw. AD eigentlich keine Ahnung habe face-wink
MichaelGall
MichaelGall 31.01.2012 um 12:19:00 Uhr
Goto Top
War/Ist das ein SBS?
Ne ohne mist jetzt schau dich nach einem Systemhaus in Berlin um, gerade wenn die Bude steht.