Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

DNS-Probleme, Herabstufung des 2. DC mit dcpromo /forceremoval ... und nun?

Mitglied: oweigel
Hallo, folgendes Problem:

Nachdem meine beiden W2K-DCs (innerhalb einer Domäne) 1 Jahr lang friedlich koexistiert haben, bekam ich am Montag beim Anlegen zweier neuer User die Meldung, dass die Konten nicht genutzt werden können, weil es ein Replikationsproblem zwischen den DCs gibt.

Okay, kein Problem eigentlich, ich habe den 2. DC mittels dcpromo heruntergestuft, neu gestartet und wieder heraufgestuft, alles prima.

Dienstag morgen: Ca. die Hälfte meiner User können sich nicht einloggen, "Es besteht ein Zeitunterschied zwischen dem Server und dem Client". Klasse ...

Um das Problem schnell zu beheben, wollte ich den 2. DC erneut zurückstufen, was aber nicht funktionierte: "Ein DSA-Vorgang konnte wegen eines fehlerhaften DNS-Aufrufs nicht abgeschlossen werden".

Aha, mal wieder die DNS-Einstellungen geprüft und festgestellt, dass auf beiden DCs sowohl Forward- als auch Reverse-Lookupzone eingetragen sind. Passt also eigentlich alles ... Also habe ich den 2. DC komplett heruntergefahren und dem Betriebsmaster (den 1. DC) neu gestartet, und alle User konnten sich einloggen.

Gestern und heute morgen hatte ich natürlich wieder das gleiche Problem.

Nun habe ich mittels dcpromo /forceremoval den 2. DC herabgestuft, kann ihn aber nun nicht als Mitgliedsserver anmelden UND auch nicht das DC-Konto auf dem nun einzigen DC entfernen, denn ein DC kann nicht entfernt werden.

Somit habe ich nun überhaupt keinen Zugriff aus der Domäne auf den 2. Server ... was totaler Mist ist.

Hat jemand eine Idee, wie ich nun weiter vorgehe? Wie kommt es eigentlich, dass 2 DCs plötzlich aus dem Tritt kommen und so ein bescheuerter Zustand entsteht?

Ich bin für jeden Hinweis dankbar.

Ergänzung:
Ich konnte den 2. Server mittels dcpromo wieder heraufstufen, was erstmal gut war, denn somit lief er wieder, es gab aber weiterhin Probleme beim Anmelden der Clients ("Zeitunterschied ..."). Also habe ich ihn nocheinmal heruntergestuft, was dann ganz sauber funktionierte. Als Mitgliedsserver anmelden ging aber immer noch nicht ("Die Anmeldeinformationen sind bereits vorhanden ..."). Das Domänenkonto als 2. DC ist ebenfalls ganz prima entfernt worden, ich habe also nur noch einen DC (und auch nur einen DNS-Server). Dennoch können sich auch die Clients nicht anmelden ("Zeitunterschied ..."). Und ein erneutes Hochstufen als DC geht mit dem 2. Server nun auch nicht mehr ("Zeitunterschied ...").

Im Moment befürchte ich, dass ich sogar BEIDE Server komplett neu aufsetzen muss, was extrem aufwendig ist. Gibt es da keinen anderen Weg oder irgendeine Idee, wo ich gucken kann?

Content-Key: 37226

Url: https://administrator.de/contentid/37226

Ausgedruckt am: 08.12.2021 um 04:12 Uhr

Mitglied: meinereiner
meinereiner 03.08.2006 um 19:16:20 Uhr
Goto Top
was machst du da eigentlich?

Bist du der Fehlermeldung mal nachgegangen und Datum Zeit und Zeitzone auf dem Server geprüft? Diese Einstellungen müßen auf allen Rechner/Servern in der Domäne gleich sein.
Mitglied: oweigel
oweigel 03.08.2006 um 22:01:06 Uhr
Goto Top
Öhm ... die Zeit und Zeitzone ist gleich, der Fehlermeldungstext hat mit dem eigentlichen Problem leider absolut überhaupt gar nichts zu tun ...

Es ist ein Replikationsproblem zwischen den beiden DCs ... Und wenn es mal geklappt hat, den 2. DC herab- und wieder herauszustufen, tut's die Anmeldung ja wieder für eine Stunde oder so ...
Mitglied: meinereiner
meinereiner 03.08.2006 um 22:47:27 Uhr
Goto Top
Öhm ... die Zeit und Zeitzone ist
gleich, der Fehlermeldungstext hat mit dem
eigentlichen Problem leider absolut
überhaupt gar nichts zu tun ...

Es ist ein Replikationsproblem zwischen den


Ach, Zeitifferenzen haben nichts mit der Replikation zu tun?
Windows zieht da einfach eine Fehlermeldung aus dem Hut?

Also, ich kann dir ja nur raten diese Fehlermeldungen ernst zu nehmen und der Ursache dafür auf den Grund zu gehen.



beiden DCs ... Und wenn es mal geklappt hat,
den 2. DC herab- und wieder herauszustufen,
tut's die Anmeldung ja wieder für eine
Stunde oder so ...

Jo, sieht man ja wie gut das klappt.
Mitglied: oweigel
oweigel 03.08.2006 um 23:09:56 Uhr
Goto Top
Hallo? Die Serverzeiten SIND aber bis auf ein paar Millisekunden identisch!!!

Im Moment habe ich den 2. Server wieder heraufgestuft (problemlos) und auch den 2. DC als Globalen Katalogserver eingerichtet, und im Moment geht's wieder.

Wenn du meinst, dass es irgendwelche Zeiteinstellungen sind, dann sag mir doch bitte mal, wo ich noch gucken kann. Aber aus anderen Postings hier im Forum deutet alles auf DNS-Probleme hin. Es gibt hier eine Frage, die zwar auch ein Zeitproblem schildert, nur wenn ich das entsprechend prüfe, passt alles.
Mitglied: meinereiner
meinereiner 03.08.2006 um 23:25:35 Uhr
Goto Top
Wenn Windows sagt, daß ein Zeitunterschied da ist, dann würde ich das erstmal glauben. Vor allem, wenn die auftretenden Fehler so gut dazu passen.

Replikations- und Anmeldeprobleme passen da nämlich sehr gut.


Was sagt denn das Eventlog? Da müsste doch einiges drin stehen.
http://www.eventid.net/ hilft mit den Eventids weiter.


Was hast du in bezug auf DNS denn schon überprüft?
Mitglied: oweigel
oweigel 03.08.2006 um 23:50:22 Uhr
Goto Top
Danke erstmal für deine Hilfe!!!

DNS-Serverlog: Kein Fehler!

Replikationsdienst:

Ereignistyp: Warnung
Ereignisquelle: NtFrs
Ereigniskategorie: Keine
Ereigniskennung: 13562
Datum: 03.08.2006
Zeit: 17:19:23
Benutzer: Nicht zutreffend
Computer: RK2K01
Beschreibung:
Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Domänencontrollers "rk2k01.Rolko.com" der Konfigurationsinformationen des FRS-Replikatssatzes vom Dateireplikationsdienst ermittelt wurden.

Es konnte keine Bindung mit dem Domänencontroller hergestellt werden. Der Vorgang wird beim nächsten Abrufzyklus wiederholt.

DS-Log:

Ereignistyp: Fehler
Ereignisquelle: NTDS General
Ereigniskategorie: (18)
Ereigniskennung: 1126
Datum: 03.08.2006
Zeit: 21:54:22
Benutzer: Jeder
Computer: RK2K01
Beschreibung:
Die Verbindung mit dem globalen Katalog konnte nicht erstellt werden.


Aaalso: Das Problem scheint jetzt behoben zu sein. Ich hatte nur den 1. DC (Rk2k01) als globalen Katalog definiert. Warum es auf einmal (seit Montag) diese Probleme gab, weiß ich nicht. Auf jeden Fall hat die Heraufstufung des 2. DC (Rk2k04) auch zum globalen Katalog anscheinend geholfen, denn das Eventlog gibt die Info, dass NUN mit dem globalen Katalog verbunden werden kann.

Was das mit einem Zeitunterschied zu tun hat, ist mir immer noch gänzlich unklar. Hast du eine Idee?
Mitglied: meinereiner
meinereiner 04.08.2006 um 00:23:14 Uhr
Goto Top
und wie ist es im Systemlog und Anwendungslog?

Schon mal auf die Seite geschaut die ich dir nannte?

Der DC der Ärger macht hat keine der Betriebsmasterrollen? Vor allem nicht die des PDC?
Wenn ja, dann gib auf bei dem mal auf der kommandozeile:
net time \\nameDC1 /set ein. Sollte jetzt kein Problem machen. Interessant wird es was passiert wennd er Fehler wieder auftritt.

Um den DNS zu checken,
auf beiden DC gibt nslookup ein. Dan versuche die Domäne (also z.b. domäne.de) aufzulösen. Da muss als Antwort die IP der beiden DCs kommen. Danach versuch den Namen der DCs einzeln aufzulösen.

Den zweite DC auch zum GC zu machen verdeckt das Problem nur. Deine DCs reden nicht sauber miteinander. Das Problem gilt es zu lösen, sonst holt dich der Fehler an andere Stelle wieder ein.
Mitglied: oweigel
oweigel 04.08.2006 um 01:03:12 Uhr
Goto Top
Doch doch, der erste ist Betriebsmaster, schon immer, der 2. ist nichts, außer jetrzt auch GC. Ja, ich habe auf EventID nachgesehen, aber das hat im Moment nicht weitergeholfen. net time \\nameDC1 wird auf jedem Server und jedem Client immer beim Start ausgeführt und der DC1 holt sich die Zeit von meinem Gateway, das sich die Zeit wiederum aus dem Web holt.

Das Auflösen der Domänen bringt folgendes:

Auf Rk2k01 (dem DC1):

nslookup
Standardserver: rk2k01.xxxxx.com
Addresses: 192.168.0.101

nslookup xxxxx.com
Server: rk2k01.xxxxx.com
Address: 192.168.0.101

Name: xxxxx.com
Addresses: 192.168.0.101, 192.168.0.104

nslookup rk2k01
Server: rk2k01.xxxxx.com
Address: 192.168.0.101

Name: rk2k01.xxxxx.com
Address: 192.168.0.101

nslookup rk2k04
Server: rk2k01.xxxxx.com
Address: 192.168.0.101

Name: rk2k04.xxxxx.com
Address: 192.168.0.104


Auf Rk2k04 (dem 2. DC):

nslookup
Standardserver: rk2k01.xxxxx.com
Addresses: 192.168.0.101

nslookup xxxxx.com
Server: rk2k01.xxxxx.com
Address: 192.168.0.101

Name: xxxxx.com
Addresses: 192.168.0.104, 192.168.0.101

nslookup rk2k01
Server: rk2k01.xxxxx.com
Address: 192.168.0.101

Name: rk2k01.xxxxx.com
Address: 192.168.0.101

nslookup rk2k04
Server: rk2k01.xxxxx.com
Address: 192.168.0.101

Name: rk2k04.xxxxx.com
Address: 192.168.0.104

Das sieht alles eigentlich völlig korrekt aus.

Nächste Woche bekomme ich einen neuen Server mit Windows Server 2003, der dann als Terminalserver arbeiten soll, und eigentlich wollte ich diesen dann zum Betriebsmaster machen. Ich wüsste auch sehr gerne, wieso die beiden sich auf einmal nicht mehr mögen, denn in den letzten 10 Monaten gab es absolut keine Änderungen am AD.
Mitglied: oweigel
oweigel 04.08.2006 um 08:39:52 Uhr
Goto Top
Ich brech' ab ...

Um halb 2 habe ich noch 15 Rechner/User getestet, und es gab kein Problem, um 8 kommen wieder einige User, auch von den getesteten, nicht mehr in die Domäne ("Zeitunterschied ..."). Zwischendurch ist nichts passiert, außer natürlich den Diskussionen der beiden DCs untereinander. Neue Einträge in den Eventlogs gibt es ebenfalls nicht!!!

Das kann doch alles nicht wahr sein, mir scheint, ich kann mir das Wochenende um die Ohren hauen und die Domäne komplett neu einrichten ...

Für den Fall der Fälle: Gibt es eine Möglichkeit, sämtliche Domänendaten komplett, hart und restlos zu löschen?
Mitglied: meinereiner
meinereiner 04.08.2006 um 09:43:50 Uhr
Goto Top
Was passiert denn wen du auf den Client mal net time \\dc2 /set eingibst.
Gehts dann?
Mitglied: oweigel
oweigel 04.08.2006 um 12:16:34 Uhr
Goto Top
net time geht immer und von jedem PC/Server an jeden Server und liefert auch die gleiche Zeit. Login geht im Moment wieder auf mehr als 10 PCs nicht.
Mitglied: meinereiner
meinereiner 04.08.2006 um 12:36:22 Uhr
Goto Top
und findet sich was in den Eventlogs auf CLients bzw. SErvern?
Mitglied: oweigel
oweigel 04.08.2006 um 13:11:01 Uhr
Goto Top
Am DC2 ist nichts, aber am DC1 endlich mal etwas, was hilfreich sein kann:

Ereignistyp: Warnung
Ereignisquelle: w32time
Ereigniskategorie: Keine
Ereigniskennung: 64
Datum: 04.08.2006
Zeit: 12:12:52
Benutzer: Nicht zutreffend
Computer: RK2K01
Beschreibung:
Aufgrund wiederholender Netzwerkprobleme, kann der Zeitdienst keinen Domänencontroller zum Synchronisieren finden. Der Zeitdienst wird vor dem erneuten Versuch 960 Minute(n) warten, um den Netzwerkverkehr zu verringern. Während diesem Zeitintervall wird keine Synchronisierung stattfinden, auch wenn Netzwerkverbindungen wiederhergestellt werden sollten. Möglicherweise werden bestimmte Netzwerkvorgänge aufgrund von bisherigen Zeitfehlern fehlschlagen. Führen Sie "w32tm /s" von der Befehlszeile aus, um den Zeitdienst über das Wiederherstellen der Netzwerkverbindungen zu benachrichtigen, damit die erneute Synchronisierung ausgeführt wird.
Daten:
0000: e5 03 00 00 å...

und

Ereignistyp: Fehler
Ereignisquelle: w32time
Ereigniskategorie: Keine
Ereigniskennung: 62
Datum: 04.08.2006
Zeit: 12:12:52
Benutzer: Nicht zutreffend
Computer: RK2K01
Beschreibung:
Dieser Computer ist ein PDC der Domänengesamtstruktur. Synchronisieren Sie die Uhrzeit mit einer externen Zeitquelle mit folgendem Befehl: "net time /setsntp:<Servername>".
Daten:
0000: e5 03 00 00 å...

Der PDC synchronisiert sich aber eh stündlich automatisch per net time \\rkpc02 /set /yes (unserem Web-Proxy und -Gateway). Aber die erste Meldung ist merkwürdig: Warum muss der DC1 einen Domänencontroller zum Synchronisieren finden? Vorher war diese Meldung allerdings nicht da und kann natürlich daran liegen, dass ich zu diesem Zeitpunkt den DC2 ausgeschaltet hatte.

Trotzdem ist das endlich mal etwas, was mit der Fehlermeldung beim Anmelden zusammenhängt.
Mitglied: oweigel
oweigel 04.08.2006 um 14:17:42 Uhr
Goto Top
Es wäre schön, wenn du mir noch weiter hilfst, das muss sich ja eingrenzen lassen. Ich stelle die Frage aber nochmal anders, vielleicht bekomme ich dann noch andere Tipps.
Mitglied: oweigel
oweigel 04.08.2006 um 14:45:09 Uhr
Goto Top
Oooops: Soeben habe ich eine neue Meldung am Betriebsmaster beim Aufruf von Active Directory-Benutzer und Computer:
Es konnten aufgrund des folgenden Problems keine Namensinformationen gefunden werden: Die Zeitgeber auf dem Client- und dem Servercomputer weichen voneinander ab.

Was soll mir DAS denn sagen?
Mitglied: meinereiner
meinereiner 04.08.2006 um 15:11:12 Uhr
Goto Top
Das soll dir sagen, das die Zeiten voneinander abweichen.

Zur Fehlermeldung auf DC ein. Der hat die FSMO Rolle des PDCs und damit ist er der zentrale Zeitserver in der Domäne. Eigentlich ist kein net time in der Domäne notwendig, da dazu eben der DC da ist. Das net time wird gerne gemacht, ist aber nur eine Sicherheit gegen Probleme die da sind. Auch deine net time befehle sollten immer gegen DC1 laufen.
Die Fehlermeldung auf DC1 kannst du auch ignorieren. Die sagt nur, das er sich am besten gegen eine Uhr syncronisiert, damit die Zeit in der Domäne richtig ist. Die Domäne läuft aber auch mit falscher Zeit weiter. Solange sie auf ellen Rechner in der Domäne falsch ist.

Interessant wäre:
gibt mal auf den Cliebts die sich anmelden können auf der Kommandozeile "echo %logonserver%" ein. So kannst du sehen wlcher der DCs geht und welcher nicht. Im Moment würde ich drauf tippen, das im Problemfall immer DC1 auftaucht.
Mitglied: oweigel
oweigel 04.08.2006 um 15:20:12 Uhr
Goto Top
Dass die Zeiten abweichen ist ja klar, obwohl sie es de facto nicht tun. Eine vorherige Synchronisierung mittels net time hilft ja leider auch nicht. Wie sage ich denn dem DC2, dass er bitte den DC1 immer als Zeitquelle nehmen soll?

Ich hatte heute morgen den rk2k04 abgestellt, dann kamen diejenigen hinein, die sich an rk2k01 anmeldeten. MEIN PC allerdings nicht. Da hat es erst geklappt, sobald der rk2k04 wieder da war und hat entsprehend den Logonserver rk2k04.
Mitglied: meinereiner
meinereiner 04.08.2006 um 15:27:43 Uhr
Goto Top
Hier gibt es ein Whitepaper zum Zeitdienst unter 2000
http://www.microsoft.com/windows2000/docs/wintimeserv.doc

Mich wundert nur, das DC2 keinen Fehler bringt, wenn du ihn mit DC1 über net time abgleichst.
Mitglied: oweigel
oweigel 04.08.2006 um 15:33:03 Uhr
Goto Top
Mich wundert mittlerweile gar nichts mehr, so einen Mist habe ich in 20 Jahren mit irgendwelchen Servern von Novell über NT bis W2K noch nicht erlebt. Und in MSCE-Kursen macht man alles mögliche, was sowieso vollkommen klar ist, aber so was wird nicht mal angerissen. Mein Verdacht ist, dass die beiden aus dem Tritt gekommen sind, weil der DC2 in den letzten Wochen wegen Hitze mehrfach abschmierte ... die Geschäftsleitung war ein wenig geizig von wegen Klimaanlage ...

Kann man einen Client zwingen, sich an einem bestimmten DC anzumelden?
Mitglied: oweigel
oweigel 04.08.2006 um 16:09:47 Uhr
Goto Top
Ich bin gerade nochmal rumgelaufen: ALLE laufenden PCs haben als Logonserver den 2. DC.
Mitglied: meinereiner
meinereiner 04.08.2006 um 17:46:57 Uhr
Goto Top
Hast du eigentlich DFS mit einer Replikation laufen.
Die Hinweise zu dem einen Event zeigten da Möglkichkeiten.

Das kann gut sein, dass da was schief geht wenn ein Server wegschmiert.

Nein, die Clients kannst du icht zwingen einen bestimmetn Server zu nehmen.

BTW: Wenn du einen TS aufsetzen willst. Mach da keinen DC draus.

Der Fehler tritt doch immer morgens auf. Zu einer bestimmten Zeit?
Mitglied: oweigel
oweigel 04.08.2006 um 18:01:09 Uhr
Goto Top
Nein, DFS habe ich nicht laufen. Es ist einfach ein Hauptserver mit AD, SQL-Server (7 und 2005), TelnetServer und Fileserver sowie der 2. DC mit Archivierung, Netzdruckeransteuerung, Faxware und eben auch AD. Eigentlich ganz simpel ... Nur die 50 Stunden am Wochenende, alles komplett neu aufzusetzen mit sämtlichen Userrechten, wollte ich mir gerne sparen.

Der neue Server sollte auch nur Mitgliedsserver werden und dann als Terminalserver arbeiten.

Der Fehler tritt immer morgens auf, aber immer stochastisch bei anderen Usern zwischen 7 und 9, je nachdem, wann die anfangen.

Ich versuche jetzt als erstes mal folgendes: Ich mache den 2. DC zum Betriebsmaster und übergebe alle FSMO-Rollen, dann stufe ich den Datenbankserver herunter. Mal gucken, ob das klappt. SO herum habe ich es noch nicht probiert. Den DC1 habe ich auch notfalls in 3 Stunden komplett neu installiert, während der Archivserver mit allem drum und dran sehr aufwendig ist ...

Mal gucken ...
Heiß diskutierte Beiträge
question
WSUSContent wird riesig gelöst DoskiasVor 1 TagFrageWindows Update14 Kommentare

Hallo Mit-Admins, vielleicht bin ich grade nur zu Faul em-pie direkt anzuschreiben, aber vielleicht schreib ich auch hier, weil ich mir gut vorstellen kann, dass ...

tutorial
Link Aggregation (LAG) im NetzwerkaquiVor 1 TagAnleitungLAN, WAN, Wireless8 Kommentare

Einleitung Das Bündeln mehrerer, paralleler Links zu einem virtuellen Link mit Link Aggregation nach IEEE Standard IEEE 802.3ad (seit dem Jahr 2008 IEEE 802.1ax) bietet ...

question
Telekom Glasfaser mit Mikrotik RB4011iGS-RM Lan ohne Internet gelöst schmidtz78Vor 18 StundenFrageLAN, WAN, Wireless23 Kommentare

Hallo und viele Grüße an alle, ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit ...

question
Software für Echtzeit-BenachrichtigungGregor81Vor 20 StundenFrageMicrosoft13 Kommentare

Hallo zusammen, bin auf der Suche nach einer Software wo man auf die Client`s Benachrichtigungen verschicken kann, z.b. wenn der Exchange nicht geht oder wenn ...

question
VmWare VSphere 7 Essentials gelöst Ueba3baVor 19 StundenFrageSonstige Systeme13 Kommentare

Hallo, ich bin auf dieses Angebot gestoßen: Hat jemand damit schon Erfahrung? Ich finde dieses Angebot sehr günstig und ziehe es in Erwägung, es zu ...

general
Chatbox in dem ForumITghostVor 15 StundenAllgemeinWünsch Dir was19 Kommentare

Hey Liebe Administratoren von Administrator.de :) ! Wie wäre es mit einer Chatbox hier im Forum? Falls man mal schnell was ansprechen möchte, dass keinen ...

question
Backupkontrollkonzept überarbeiten( von Papier auf digital ) gelöst truustyyVor 16 StundenFrageBackup12 Kommentare

Hey Leute, ich bräuchte mal eure Hilfe. Und zwar kontrolliere Ich täglich Backups von mehreren Kunden von uns. Ich kriege täglich Mails von verschiedenen Backupsoftwares ...

question
Raid und Defekte HDD gelöst themuckVor 1 TagFrageFestplatten, SSD, Raid6 Kommentare

Servus, ich habe hier einen alten DELL R720, PERC H710. Darin werkeln im RAID6 unteranderem 6x 600GB, 10k Platten. Der besagte Server lief jetzt ~1,5jahre ...