DC Replikation einseitig fehlerhaft

Mitglied: lukluk

lukluk (Level 1) - Jetzt verbinden

07.04.2016, aktualisiert 16:57 Uhr, 4204 Aufrufe, 11 Kommentare

Hallo zusammen,

ich habe 2 DCs mit je Windows Server 2008 an 2 getrennten Standorten, die per Punkt-zu-Punkt-Verbidndung miteinander reden sind.
Bis vor kurzem war noch ein alter 2003-Server aktiv, den ich vor ca. 3 Wochen sauber per dcpromo rausgehauen habe.

Danach funktionierte die Replikation problemlos weiter.


Nun habe ich heute am Standort B ein neues Computerobjekt angelegt und musste feststellen, dass es dem DC am Standort A unbekannt ist.
Kurze Recherche zeigt seit gestern Abend ca 19 Uhr alle 15min (Replikationsintervall) folgende Fehler an Standort A: (Standort B zeigt keine Fehler).

Danach kommt dann:

und:


dcdiag sagt passent, dass er den KCC und die Replikation nicht bestanden hat - alles andere geht. Geändert wurde am DC nichts, gestern Abend um 18 Uhr war definitiv kein Admin mehr am Werk.

Pingen und Zugriff auf den Server und Netlogon etc geht beidseitig. Objekte, die ich am Standort A erstelle werden nach Standort B repliziert, B kann sich also die Daten ziehen.
Objekte, die an B erstellt werden werden jedoch nicht von A gepulled.


Bei den Inter-Site Transports sieht alles i.o. aus, wenn ich von da aus die replikation anwerfe bekomme ich nach 1min:

Der DNS sieht jedoch sauber aus.


Jemand eine Idee wo das Problem liegen könnte?

Als nächsten Schritt würde ich, wie es in der Windows-Welt üblich ist, die beiden DCs neu starten, das kann ich aber erst nach 19 Uhr.


Danke + Gruß
LL
Mitglied: Chonta
07.04.2016 um 17:08 Uhr
Hallo,

welcher DC hat die FMSO? (hat der alte 2003er etwa noch welche?)
Sind die Standorte richtig konfiguriert und ist da evtl noch der nicht vorhandene 2003er einem Standort zugewiesen? (war bei mir mal)

Wie schaut es mit dem DNS aus? Gibt es im DNS noch Karteileichen vom alten DC?
Was sagt repadmin?
Wurden Firewalleinstellungen geändert?
War der 2003er an Standort A?

Gruß

Chonta
Bitte warten ..
Mitglied: lukluk
07.04.2016 um 17:50 Uhr
Hallo Chonta, vielen Dank für deinen Post.


Zitat von @Chonta:

Hallo,

welcher DC hat die FMSO? (hat der alte 2003er etwa noch welche?)
Nein, die hatte alle der neue DC am Standort A. Dies hat er übrigens schon seit über 2 Jahren, da der "Neue" schon etwas länger läuft. Ich wollte mich jetzt nur von der Altlast des Ausfall-DCs entledigen.

Sind die Standorte richtig konfiguriert und ist da evtl noch der nicht vorhandene 2003er einem Standort zugewiesen? (war bei mir mal)
Im AD-Standorte und -Dienste sind nur die zwei aktuellen DCs drin.

Wie schaut es mit dem DNS aus? Gibt es im DNS noch Karteileichen vom alten DC?
Vorhin hatte ich den alten DC noch als Nameserver in den reverse-Lookup-Zonen im DNS gefunden und rausgehauen. Ansonsten sehe ich nichts zu dem Server.

Was sagt repadmin?
was genau soll repadmin prüfen?
repadmin /showrepl sagt, dass der RPC-Server DC_Standort_B nicht gefunden werden konnte
repadmin /kcc, repadmin /kcc DC_St_A und repadmin /kcc DC_St_B sagen jeweils Konsistenzprüfung bestanden.
repadmin /syncall sagt, dass er erfolgreich war - bringt jedoch nix

Wurden Firewalleinstellungen geändert?
Nein es wurde nichts geändert. zwischen den Standorten ist jedoch keine direkte Firewall, da es nur eine Punkt-zu-Punkt-Verbindung ist. Mit dem Routing ist jedoch alles ok.

War der 2003er an Standort A?
Ja, war er.


Gruß

Chonta

Was mir grad einfällt... ich hatte heute Vormittag ein kurzes "Problemchen". Ich wollte als Domain Admin per UNC-Pfad auf das Netlogon im Standort A zugreifen und bekam ein Zugriff verweigert. Nochmal draufklicken brachte dieselbe Meldung. Dann habe ich mich per RDP drauf verbunden (und dachte schon, der Server sei down), dies ging jedoch sofort. Nochmal den UNC-Pfad versucht und es ging wieder. Keine Ahnung, ob es etwas damit zu tun hat.

Grüße
Bitte warten ..
Mitglied: Chonta
08.04.2016 um 09:34 Uhr
Bist Du an Standort B?

Im DNS muss _msdcs.wasauchimmer.tld sauber sein.
Sind die Subnetze noch richtig eingerichtet?

Kannst Du nachvollziehen seid wan die Replikation nicht geht?

Vermutung:

Standort B hat sich immer mit dem 2003er repliziert und der 2003er hat die Änderungen an den anderen DC an Standort A übertragen und dann war auch alles Konsistent.
Das B nicht mit dem nicht 2003 Server an Standort A replizieren kann, ist nie aufgefallen, da das AD immer konsistent war, weil der 2003er vermittelt hat.

Das mit dem RPC kenne ich nicht in Verbindung mit DCs aber mit Windows 8 und ab undzu Vistaclients, aber vor allem Windows 8++.
Ping war möglich, aber RPC Aufrufe WMI Scans alles von meinem Standort nicht machbar.
GPO welche die Firewalleinstellungen so gesetzt haben das von bestimmten IP ALLES erlaubt werden sollte wurden gezogen, aber RPC ging nicht....
Wenn ich von einem Rechner am selben Standort das selbe machen wollte, alles kein Problem (Nur ein AD Standort und alle IP-Netze sind diesem Zugewiesen)
Das hat sich erst gegeben, nachdem ich auf den Rechnern Symantec Endpoint drauf hatte und die Firewalleinstellungen darüber gezogen wurden ....

Dein Problem könnte in dieselbe Richtung gehen.

Gruß

Chonta
Bitte warten ..
Mitglied: lukluk
08.04.2016 um 10:17 Uhr
Hallo Chonta

Zitat von @Chonta:

Bist Du an Standort B?
Ja, bin ich. Auch primär.. kann aber natürlich auch auf Standort A zugreifen.

Im DNS muss _msdcs.wasauchimmer.tld sauber sein.
Sind die Subnetze noch richtig eingerichtet?
_msdcs.domaene.de hatte in der Tat noch den 2003er als Nameserver drin. Hatte ihn gestern nur bei den Reverse-Loopupzonen rausgeworfen und bei den Forward übersehen. Subnetze sind noch i.O. hier wurde auch nichts angefasst.
Habe den NS nun aus den Forward-Zonen rausgeworfen, brachte aber vermutlich keinen Erfolg. Es kommen weiterhin dieselben Fehler alle 15min (hab nun ca 45min gewartet).

Kannst Du nachvollziehen seid wan die Replikation nicht geht?
Laut Eventlog Fehlermeldungen seit vorgestern 17:45 Uhr. Vor 2 Wochen hatte ich noch einen Rechner in die Domäne reingehauen und der wurde korrekt repliziert. Zu diesem Zeitpunkt war der 2003er DC bereits raus. Sollte also passen.


Vermutung:

Standort B hat sich immer mit dem 2003er repliziert und der 2003er hat die Änderungen an den anderen DC an Standort A übertragen und dann war auch alles Konsistent.
Das B nicht mit dem nicht 2003 Server an Standort A replizieren kann, ist nie aufgefallen, da das AD immer konsistent war, weil der 2003er vermittelt hat.
Klingt plausibel, aber der 2003er ist schon seit über einen Monat raus, zwischenzeitlich sind keine Fehlöer aufgetreten/aufgefallen.


Das mit dem RPC kenne ich nicht in Verbindung mit DCs aber mit Windows 8 und ab undzu Vistaclients, aber vor allem Windows 8++.
Ping war möglich, aber RPC Aufrufe WMI Scans alles von meinem Standort nicht machbar.
GPO welche die Firewalleinstellungen so gesetzt haben das von bestimmten IP ALLES erlaubt werden sollte wurden gezogen, aber RPC ging nicht....
Wenn ich von einem Rechner am selben Standort das selbe machen wollte, alles kein Problem (Nur ein AD Standort und alle IP-Netze sind diesem Zugewiesen)
Das hat sich erst gegeben, nachdem ich auf den Rechnern Symantec Endpoint drauf hatte und die Firewalleinstellungen darüber gezogen wurden ....
Windows Firewalls sind auf den DCs deaktiviert.


Grüße,
LL
Bitte warten ..
Mitglied: Chonta
08.04.2016 um 10:40 Uhr
Windows Firewalls sind auf den DCs deaktiviert.
Das kann zu einem ungewünschten Verhalten führen. Also aktivieren und die richtige Konfiguration finden.
Wenn Du mit Netscan mal ne runde Scanst wie sind die Resultate von deinem Standort und dann einmal vor Ort im A Netzwerk?

Ist RPC im A Netzwerk Scan an oder auch aus?

Was für Meldungen sind Vorgestern noch so? Updates installiert?
VPN unverändert oder gabs da was?

Gruß

Chonta
Bitte warten ..
Mitglied: lukluk
08.04.2016, aktualisiert um 11:49 Uhr
Meinst du mit netscan den hier? -> https://sourceforge.net/projects/netscan/
Bei dem Download meckert GData, dass da ein Trojan.Agent drin sein soll, dasslebe hat auch wer in den Kommentaren geschrieben. Oder meinst du einen anderen Scanner?


Updates wurden keine installiert, die letzten Patches wurden mitte märz nach dem Patchday eingespielt. Manuelle Installationen wurden auch nicht gemacht, ich war am Mittwoch nur bis 16 Uhr im Haus und wer anderes geht da nicht dran. Syslog > Installation bestätigt mir dies.

Am 6.4. um 17:52 meldete "Anwendungen" als Info: SceCli, ID 1704 -> "Die Sicherheitsrichtlinie in den Gruppenrichtlinienobjekten wurde erfolgreich angewendet.", das meldet er aber eigentlich jeden Tag.


Start der Fehler war 6.4. um 18:53Uhr, Da trat der Fehler ID 1308 auf:
Seitdem durchgehend alle 15min die IDs 1566, 1311, 1865 wie oben zitiert.
Sonst gibt das Syslog keine aktuellen Fehler her.

VPN zwischen den Standorten gibt es keins, da es nru eien direktverbindung ist. Die Routerconfigs dazwischen wurden nicht angefasst, habe sie dennoch geprüft - soweit alles i.O.

Ne Idee wäre evtl. mal die Verbindung zw. den Sites im "AD Standorte und Dienste" zu entfernen, der KCC müsste sie ja enu generieren..? Aber ob's was bringt bin ich mir noch unsicher.


(Übrigens: ich bin grad dabei parallel einen neuen 2008er Server aufzusetzen, der den DC dann ablösen wird, eine Lösung wäre mir dennoch lieber.)

Grüße
Bitte warten ..
Mitglied: Chonta
08.04.2016 um 11:54 Uhr
Hallo,

http://www.heise.de/download/network-scanner-1113270.html
den meinte ich.

15min das Replikationsintervall.

VPN zwischen den Standorten gibt es keins, da es nru eien direktverbindung ist.
Kein VPN und wie sind die Netzt verbunden?

1256 Der Remotecomputer ist nicht verfügbar. Weitere Informationen zur Behebung von Netzwerkproblemen finden Sie in der Windows-Hilfe.

Also war der Replikationspartner nicht da also Internet zu lange weg?
Wie ist der Zeitunterschied der beiden DC?
Server schon neu gestartet?

Gruß

Chonta
Bitte warten ..
Mitglied: lukluk
08.04.2016, aktualisiert um 12:56 Uhr
Hallo Chonta

Das ist eine EthernetConnect von der Telekom, die ausschließlich die 2 Standorte verbindet. Da hängen dann passende Modems inkl. Router dran, die im Netzwerk ein Gateway darstellen.

Wenn ich nun in's Subnetz von Standort B will sagt mir die Firewall, dass ich über das Gateway der Telekom soll und ich lande dann im Standort B.

--

Einen netscan habe ich nun durchgeführt. In allen 4 Konstellationen mit demselben Ergebnis.
Von Standort A nach A
Von Standort A nach B
Von Standort B nach A
Von Standort B nach B

Hosts, Hostname, Mac Adresse, WMI, Remote Reg, Rmeote File können problemlos und zeitnah ausgelesen werden
SNMP udn Rmeote Grpups bleiben in allen 4 Konstellationen leer.

--

Also war der Replikationspartner nicht da also Internet zu lange weg?
Kann ich spontan nicht sagen.. bis 18 Uhr, also 53min vor dem Fehler ist eigentlich immer wer im Haus und da wäre ein Verlust der Standleitung definitiv aufgefallen.

Wie ist der Zeitunterschied der beiden DC?
Beide zeigen gerade 12:52 Uhr an

Server schon neu gestartet?
nein, das wollte ich mir für heute Abend aufsparen damit ich bei größeren Problemen das Wochenende als Puffer habe.


Grüße
Bitte warten ..
Mitglied: lukluk
08.04.2016, aktualisiert 09.04.2016
Hallo nochmal, anscheinend habe ich an der falschen Stelle gesucht. Der DC im Standort A hatte zwar die Fehler geschmissen, der Übeltäter ist aber anscheinend der DC im Standort B.

Ich hatte diesen neu gestartet, was auch funktionierte. Jedoch konnte ich mich anschließend nicht mehr anmelden. Bzw. die Anmeldung ging durch, es erschien jedoch kein Desktop. Ich konnte den taskmanagher öffnen und von da aus weitermachen. Also MMC etc ging problemlos und schnell auf.... nur die explorer.exe brauchte keinen Desktop. Selbes auch mit einem anderen user auf dem DC.

Ein weiterer neustart brachte ebenfalls keinen Erfolg.... alle Dienste, die autom. starten sollten liefen auch.

Nun zeigte er mir auch Updates an... hie rhabe ich auch installieren gedrückt. Nun hängt er seit ca 2-3 Stunden bei "Installiere Update 3 von 21".
Komischerweise ist der Server erreichbar. Filezugriff auf Netzlaufwerke, SQL-Datenbank und auch er slebst als Logonserver tun ihr Werk. Nun will ich aber ehrlich gesagt nicht einfach den hard reset durchführen, da wer wiess, was passiert.... aber anscheinend verweilt er nun endlos in diesem Modus.

Muss mir wohl zeitnah nen neuen Server beschaffen und die Dienste - soweit es geht - rüberbringen. Backups der DB und der wichtigen Daten wurden bereits gemacht, ich komme ja drauf.

Was komisch ist: netzlaufwerke tun's zwar aber die Adminfreigabe bzw. allgemein der Connect auf \\DC_Std_B tun's nicht. Auch die Freigegebenen Drucker können nicht angesteuert werden. Irgendwas ist da im Argen.... ich bleibe dran.

Grüße

Ahja.. das lustige: die Replikation tut's nun.... =/
Ich makiere das mal als gelöst, auch wenn ein neues Problem dadurch entstand.

Danke für deine Unterstützung & Hilfestellung
Bitte warten ..
Mitglied: Chonta
11.04.2016 um 10:09 Uhr
Hallo,

Warum ist auf den DM eine SQL Datenbank?
Was sagen die Logfiles?
sfc /scannow?
Dateisystem in Orndung?
SMART-Werte der Festplatten in Ordnung?

Gruß

Chonta
Bitte warten ..
Mitglied: lukluk
13.04.2016 um 09:30 Uhr
Hallo Chonta,
da das der einzige Server im Standort ist wurden dort alle Dienste draufgepackt, die von Nöten waren.
Auch wenn das nicht "die feine Art" ist fehlte das Budget für eine zweite Kiste.

Die HDDs sehen in Ordnugn aus, Hardwaretechnisch wurde nichts gemeldet, die Werte sind auch nicht verdächtig.

Ich kann/will am Server nun jedoch nicht groß herumdoktorn. Muss mir dafür erstmal eine neue Kiste beschaffen udn die Dineste verschieben.
Wenn der Server dann i.O. ist hab ich auch 2 im Standort :) face-smile

Grüße
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic51 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware19 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 19 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Windows Server
Lokaler DNS verlangsamt Internet?
gelöst Rattical84Vor 6 StundenFrageWindows Server20 Kommentare

Hallo zusammen, ich habe hier eine Domäne mit dem Domänencontroller als DNS-Server. Das ist der einzige DC und DNS-Server im Netz. Jetzt habe ich ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 11 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...