6
DFS-Replikation auf DCs nicht funktionsfähig
Hallo Community,
pünktlich zum Schulbeginn ist in einer Schule aufgefallen, dass das Active Directory-Probleme bereitet.
Die ursprüngliche Konfiguration bestands aus einem Windows Server 2012 R2 (hielt alle FSMO-Rollen, GC) und einem Windows Server 2019 (GC).
Eine erste Untersuchung ergab, dass vom 2012 R2 seit längerer Zeit (jedenfalls länger als die Tombstone-Zeit im AD) aufgrund eines unentdeckten Ausfall des RAID-Controllers nicht mehr mit dem 2019er DC synchronisiert hat.
Es existiert keinerlei Datensicherung.
Zur Fehlerbehebung habe ich mittels NTDSUTIL die FSMO-Rollen zwangsweise (seize) auf den 2019er-DC umgezogen und ebenfalls mittels NTDSUTIL den ausgefallenen DC entfernt.
Auf den ersten Blick sah danach alles wieder gut aus.
Zur Wiederherstellung der Ausfallsicherheit habe ich anschließend einen zweiten DC, ebenfalls auf Windows Server 2019-Basis installiert und per DC-Promo zum DC heraufgestuft.
Auf diesem DC sind jedoch die Sysvol- und Netlogon-Freigabe nicht vorhanden und in der Ereignisanzeige werden folgende Fehler protokolliert:
Ereignis-ID: 4612
Quelle: DFSR
Meldung: Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und wartet darauf, die erste Replikation auszuführen. Der replizierte Ordner bleibt im ersten Synchronisierungsstatus, bis er mit seinem Partner <FQDN des anderen DCs> repliziert wurde. Wenn der Server zu einem Domänencontroller heraufgestuft wurde, führt der Domänencontroller keine Ankündigung durch und dient als Domänencontroller, bis dieses Problem behoben wurde. Dies kann darauf zurückzuführen sein, dass der angegebene Partner sich selbst in einem ersten Synchronisierungsstatus befindet. Eine weitere mögliche Ursache ist, dass auf diesem Server oder beim Synchronisierungspartner Zugriffsverletzungen aufgetreten sind. Wenn dieses Ereignis bei der Migration von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist, werden die Änderungen nicht nach außen repliziert, bis dieses Problem behoben wurde. Dies kann dazu führen, dass der SYSVOL-Ordner auf diesem Server nicht mehr mit anderen Domänencontrollern synchron ist.
Weitere Informationen:
Name des replizierten Ordners: SYSVOL Share
ID des replizierten Ordners: 81FF9FBA-6654-4849-801B-BCD2DCF3468A
Replikationsgruppenname: Domain System Volume
Replikationsgruppen-ID: 980EE3DD-3722-4D8B-A670-11EDC06C9F22
Mitglieds-ID: 471CEBD9-9751-4B76-8F56-657FA0CF4A71
Schreibgeschützt: 0
Ereignis-ID: 5002
Quelle: DFSR
Meldung: Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "Hostane des andren DCs" für Replikationsgruppe "Domain System Volume".
Partner-DNS-Adresse: <FQDN des anderen DCs>
Optionale Daten, falls verfügbar:
Partner-WINS-Adresse: <Hostname des andren DCs>
Partner-IP-Adresse: 172.x.y.z
Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen.
Weitere Informationen:
Fehler: 1753 (In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.)
Verbindungs-ID: 980EE3DD-3722-4D8B-A670-11EDC06C9F22
Replikationsgruppen-ID: 7341DD4F-941F-4F1E-8821-655A00AD5D61
DCDiag meldet beim Test Advertising für den neu heraufgestuften DC den Fehler "DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET."
Meine erste Idee war, dass die Migration FRS auf DSFR nicht ordnugsgemäß durchgeführt wurde, aber
"dfsrmig /GetMigrationState" meldet
Alle Domänencontroller wurden erfolgreich zum globalen Status (""Entfernt"") migriert.
Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
Erfolgreich
Die Überprüfung der DFS-Replikation ergibt:
For /f %i IN ('dsquery server -o rdn') do @echo %i && @(net view \\%i | find "SYSVOL") & echo
<Bestands-DC>
SYSVOL Platte Ressource für Anmeldeserver
ECHO ist eingeschaltet (ON).
<neuer DC>
ECHO ist eingeschaltet (ON).
For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state
<Bestands-DC>
ReplicatedFolderName ReplicationGroupName State
SYSVOL Share Domain System Volume 2
<neuer DC>
ReplicatedFolderName ReplicationGroupName State
SYSVOL Share Domain System Volume 2
Was mich an der Ausgabe stutzig macht ist, dass auch der Bestands-DC angeblich noch nie seine initiale Synchronisation durchgeführt hat, sondern müsste hier der State "4" sein und nicht "2".
Ich bin mir bei der weiter Vorgehensweise nicht sicher.
Wäre es besser neuen neuen DC wieder herunterzustufen und danach noch einmal zum DC zu promoten, oder wäre das Erzwingen einer Synchronisation vom Bestands- zum neuen DC, und wenn ja sollte diese dann autoritativ oder nicht autoritativ sein?
Bin für jeden Hinweis dankbar.
Grüße
Tobias
pünktlich zum Schulbeginn ist in einer Schule aufgefallen, dass das Active Directory-Probleme bereitet.
Die ursprüngliche Konfiguration bestands aus einem Windows Server 2012 R2 (hielt alle FSMO-Rollen, GC) und einem Windows Server 2019 (GC).
Eine erste Untersuchung ergab, dass vom 2012 R2 seit längerer Zeit (jedenfalls länger als die Tombstone-Zeit im AD) aufgrund eines unentdeckten Ausfall des RAID-Controllers nicht mehr mit dem 2019er DC synchronisiert hat.
Es existiert keinerlei Datensicherung.
Zur Fehlerbehebung habe ich mittels NTDSUTIL die FSMO-Rollen zwangsweise (seize) auf den 2019er-DC umgezogen und ebenfalls mittels NTDSUTIL den ausgefallenen DC entfernt.
Auf den ersten Blick sah danach alles wieder gut aus.
Zur Wiederherstellung der Ausfallsicherheit habe ich anschließend einen zweiten DC, ebenfalls auf Windows Server 2019-Basis installiert und per DC-Promo zum DC heraufgestuft.
Auf diesem DC sind jedoch die Sysvol- und Netlogon-Freigabe nicht vorhanden und in der Ereignisanzeige werden folgende Fehler protokolliert:
Ereignis-ID: 4612
Quelle: DFSR
Meldung: Der DFS-Replikationsdienst hat SYSVOL im lokalen Pfad "C:\Windows\SYSVOL\domain" initialisiert und wartet darauf, die erste Replikation auszuführen. Der replizierte Ordner bleibt im ersten Synchronisierungsstatus, bis er mit seinem Partner <FQDN des anderen DCs> repliziert wurde. Wenn der Server zu einem Domänencontroller heraufgestuft wurde, führt der Domänencontroller keine Ankündigung durch und dient als Domänencontroller, bis dieses Problem behoben wurde. Dies kann darauf zurückzuführen sein, dass der angegebene Partner sich selbst in einem ersten Synchronisierungsstatus befindet. Eine weitere mögliche Ursache ist, dass auf diesem Server oder beim Synchronisierungspartner Zugriffsverletzungen aufgetreten sind. Wenn dieses Ereignis bei der Migration von SYSVOL aus dem Dateireplikationsdienst (FRS) zur DFS-Replikation aufgetreten ist, werden die Änderungen nicht nach außen repliziert, bis dieses Problem behoben wurde. Dies kann dazu führen, dass der SYSVOL-Ordner auf diesem Server nicht mehr mit anderen Domänencontrollern synchron ist.
Weitere Informationen:
Name des replizierten Ordners: SYSVOL Share
ID des replizierten Ordners: 81FF9FBA-6654-4849-801B-BCD2DCF3468A
Replikationsgruppenname: Domain System Volume
Replikationsgruppen-ID: 980EE3DD-3722-4D8B-A670-11EDC06C9F22
Mitglieds-ID: 471CEBD9-9751-4B76-8F56-657FA0CF4A71
Schreibgeschützt: 0
Ereignis-ID: 5002
Quelle: DFSR
Meldung: Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "Hostane des andren DCs" für Replikationsgruppe "Domain System Volume".
Partner-DNS-Adresse: <FQDN des anderen DCs>
Optionale Daten, falls verfügbar:
Partner-WINS-Adresse: <Hostname des andren DCs>
Partner-IP-Adresse: 172.x.y.z
Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen.
Weitere Informationen:
Fehler: 1753 (In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.)
Verbindungs-ID: 980EE3DD-3722-4D8B-A670-11EDC06C9F22
Replikationsgruppen-ID: 7341DD4F-941F-4F1E-8821-655A00AD5D61
DCDiag meldet beim Test Advertising für den neu heraufgestuften DC den Fehler "DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET."
Meine erste Idee war, dass die Migration FRS auf DSFR nicht ordnugsgemäß durchgeführt wurde, aber
"dfsrmig /GetMigrationState" meldet
Alle Domänencontroller wurden erfolgreich zum globalen Status (""Entfernt"") migriert.
Die Migration hat auf allen Domänencontrollern einen konsistenten Status erreicht.
Erfolgreich
Die Überprüfung der DFS-Replikation ergibt:
For /f %i IN ('dsquery server -o rdn') do @echo %i && @(net view \\%i | find "SYSVOL") & echo
<Bestands-DC>
SYSVOL Platte Ressource für Anmeldeserver
ECHO ist eingeschaltet (ON).
<neuer DC>
ECHO ist eingeschaltet (ON).
For /f %i IN ('dsquery server -o rdn') do @echo %i && @wmic /node:"%i" /namespace:\\root\microsoftdfs path dfsrreplicatedfolderinfo WHERE replicatedfoldername='SYSVOL share' get replicationgroupname,replicatedfoldername,state
<Bestands-DC>
ReplicatedFolderName ReplicationGroupName State
SYSVOL Share Domain System Volume 2
<neuer DC>
ReplicatedFolderName ReplicationGroupName State
SYSVOL Share Domain System Volume 2
Was mich an der Ausgabe stutzig macht ist, dass auch der Bestands-DC angeblich noch nie seine initiale Synchronisation durchgeführt hat, sondern müsste hier der State "4" sein und nicht "2".
Ich bin mir bei der weiter Vorgehensweise nicht sicher.
Wäre es besser neuen neuen DC wieder herunterzustufen und danach noch einmal zum DC zu promoten, oder wäre das Erzwingen einer Synchronisation vom Bestands- zum neuen DC, und wenn ja sollte diese dann autoritativ oder nicht autoritativ sein?
Bin für jeden Hinweis dankbar.
Grüße
Tobias
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 23349417068
Url: https://administrator.de/contentid/23349417068
Printed on: May 6, 2024 at 15:05 o'clock
6 Comments
Latest comment
Moin
Ich hatte erst kürzlich einen ähnlichen Fall. Zwei DCs mit Server 2012 R2. Ein neuer mit Server 2022 dazu. Auf dem neuen fiel dann auf, dass die Freigaben sysvol und netlogon fehlten.
Sysvol bekommt man mit einem registry wert aktiviert, inhalt blieb aber leer aus dem gleichen Fehler wie bei dir. Die DFS Replikation von sysvol hat sich irgendwann verabschiedet.
Gibt einen Weg die Replikation nochmal von vorn zu beginnen, danach war wieder alles schick.
Xearo
Edit: Hier eine ähnliche Beschreibung.
https://www.johnlose.de/2016/03/dfsr-fehler-4012-auf-sysvol-dfs-replikat ...
Ich hatte erst kürzlich einen ähnlichen Fall. Zwei DCs mit Server 2012 R2. Ein neuer mit Server 2022 dazu. Auf dem neuen fiel dann auf, dass die Freigaben sysvol und netlogon fehlten.
Sysvol bekommt man mit einem registry wert aktiviert, inhalt blieb aber leer aus dem gleichen Fehler wie bei dir. Die DFS Replikation von sysvol hat sich irgendwann verabschiedet.
Gibt einen Weg die Replikation nochmal von vorn zu beginnen, danach war wieder alles schick.
Xearo
Edit: Hier eine ähnliche Beschreibung.
https://www.johnlose.de/2016/03/dfsr-fehler-4012-auf-sysvol-dfs-replikat ...
Zitat von @Vision2015:
Moin...
DNS einstellungen zeigen auf den DC, bzw, auf beide?
Bitte Abarbeiten
Frank
Moin...
DNS einstellungen zeigen auf den DC, bzw, auf beide?
Bitte Abarbeiten
Frank
Jam auf beiden DCs ist der primäre DNs jeweils der andere Domänen-Controller, als sekundärer DC ist die 127.0.0.1 eingetragen
Es gibt eigentlich nur 3 verschiedene Fehlerquellen bei Domain Controllern:
1) DNS
2) DNS
3) DNS
Jeder DC ist auch ein DNS Server.
Das Betriebssystem vom DC1 braucht folgende Einstellungen:
Primärer DNS: IP vom DC2
Sekundärer DNS: IP vom DC1
Das Betriebssystem vom DC2 braucht folgende Einstellungen:
Primärer DNS: IP vom DC1
Sekundärer DNS: IP vom DC2
Dann sollte die Replikation auch von selbst schon klappen, wenn nichts böses im AD verstellt wurde.
1) DNS
2) DNS
3) DNS
Jeder DC ist auch ein DNS Server.
Das Betriebssystem vom DC1 braucht folgende Einstellungen:
Primärer DNS: IP vom DC2
Sekundärer DNS: IP vom DC1
Das Betriebssystem vom DC2 braucht folgende Einstellungen:
Primärer DNS: IP vom DC1
Sekundärer DNS: IP vom DC2
Dann sollte die Replikation auch von selbst schon klappen, wenn nichts böses im AD verstellt wurde.
Zitat von @tetranet:
Jam auf beiden DCs ist der primäre DNs jeweils der andere Domänen-Controller, als sekundärer DC ist die 127.0.0.1 eingetragen
Zitat von @Vision2015:
Moin...
DNS einstellungen zeigen auf den DC, bzw, auf beide?
Bitte Abarbeiten
Frank
Moin...
DNS einstellungen zeigen auf den DC, bzw, auf beide?
Bitte Abarbeiten
Frank
Jam auf beiden DCs ist der primäre DNs jeweils der andere Domänen-Controller, als sekundärer DC ist die 127.0.0.1 eingetragen
hast du den mal unsere links abgearbeitet?
Hallo,
danke für die Hilfe von Euch allen. Bin die Anleitungen durchgegangen, wobei sich die DCs auch so wie beschrieben verhalten.
Ein Prüfung zum Abschluss mittels dfsrdiag backlog führt allerdings zum Fehler Err: -2147217406 (0x80041002) und die Sysvol- und Netlogon-Freigabe tauchen wweiterhin nicht auf dem zweiten DC auf.
Ich habe diesen deshalb zum Member-Server heruntergestuft, putze das AD auf dem verbleibenden DC und setze den zweiten DC neu auf.
Grüße
Tobias
danke für die Hilfe von Euch allen. Bin die Anleitungen durchgegangen, wobei sich die DCs auch so wie beschrieben verhalten.
Ein Prüfung zum Abschluss mittels dfsrdiag backlog führt allerdings zum Fehler Err: -2147217406 (0x80041002) und die Sysvol- und Netlogon-Freigabe tauchen wweiterhin nicht auf dem zweiten DC auf.
Ich habe diesen deshalb zum Member-Server heruntergestuft, putze das AD auf dem verbleibenden DC und setze den zweiten DC neu auf.
Grüße
Tobias
