16
Domaincontroller nicht synchron
Hallo zusammen:
Habe ein etwas kniffliges Problem:
Wir haben eine klassische Windows Domäne mit 2 DC's: PDC + BDC ( OS beide = Windows Server 08/R2 ).
Habe heute festgestellt, dass die Computerkonten in der jeweiligen Active Directory -Verwaltung nicht synchron sind. Neue Computerkonten werden lediglich am PDC erzeugt, welche beim BDC nicht erscheinen. Habe es mit folgendem Befehl am BDC versucht: "repadmin /syncall". Hat aber nichts geholfen.
Hat jemand eine Idee ?
VG
Frank
Habe ein etwas kniffliges Problem:
Wir haben eine klassische Windows Domäne mit 2 DC's: PDC + BDC ( OS beide = Windows Server 08/R2 ).
Habe heute festgestellt, dass die Computerkonten in der jeweiligen Active Directory -Verwaltung nicht synchron sind. Neue Computerkonten werden lediglich am PDC erzeugt, welche beim BDC nicht erscheinen. Habe es mit folgendem Befehl am BDC versucht: "repadmin /syncall". Hat aber nichts geholfen.
Hat jemand eine Idee ?
VG
Frank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 219252
Url: https://administrator.de/contentid/219252
Printed on: April 16, 2024 at 14:04 o'clock
16 Comments
Latest comment
Moin,
1) Was spuckt dcdiag auf beiden DCs aus?
2) Was sagen die Ereignisanzeigen auf beiden? Vor und nachdem repadmin /all
3) Gab es in der Vergangenheit Stromausfall o.ä. oder war einer der DCs länger ( >90Tage) ausgeschalten?
4) Sind die Uhrzeiten/Datum auf beiden Servern identisch und stimmen überein mit der Weltuhr?
5) Beide Server lösen sich richtig via DNS-Namen auf (nslookup dc1, nslookup dc2, nslookup ip-dc1, nslookup ip-dc2) - jeweils auf beiden DCs ausführen?
6) Was geben beide DCs aus, wenn du repadmin /showrepl ausführst?
Grüße,
Dani
PDC + BDC
Gibt es schon länger nicht mehr. Alle DCs sind gleichwertig und einer besitzt alle FSMO-Rollen.1) Was spuckt dcdiag auf beiden DCs aus?
2) Was sagen die Ereignisanzeigen auf beiden? Vor und nachdem repadmin /all
3) Gab es in der Vergangenheit Stromausfall o.ä. oder war einer der DCs länger ( >90Tage) ausgeschalten?
4) Sind die Uhrzeiten/Datum auf beiden Servern identisch und stimmen überein mit der Weltuhr?
5) Beide Server lösen sich richtig via DNS-Namen auf (nslookup dc1, nslookup dc2, nslookup ip-dc1, nslookup ip-dc2) - jeweils auf beiden DCs ausführen?
6) Was geben beide DCs aus, wenn du repadmin /showrepl ausführst?
Grüße,
Dani
Hi Dani,
danke für die superschnelle Antwort. Mittlerweile habe ich das Problem aber lösen können: Die Replikation war am DC1 ausgeschaltet. Per "repadmin /options {dc1} -disable_outbound_repl" habe ich die Replikation wieder aktiviert. Beide DC's sind sind jetzt wieder synchron. Ursache war - vermute ich - eine Imagebackup -Wiederherstellung von DC2 letzte Woche.
Vielen Dank nochmal.
VG
Frank
danke für die superschnelle Antwort. Mittlerweile habe ich das Problem aber lösen können: Die Replikation war am DC1 ausgeschaltet. Per "repadmin /options {dc1} -disable_outbound_repl" habe ich die Replikation wieder aktiviert. Beide DC's sind sind jetzt wieder synchron. Ursache war - vermute ich - eine Imagebackup -Wiederherstellung von DC2 letzte Woche.
Vielen Dank nochmal.
VG
Frank
Moin Frank,
Grüße,
Dani
Ursache war - vermute ich - eine Imagebackup -Wiederherstellung von DC2 letzte Woche.
Mutig... Grüße,
Dani
Moin
Schau noch mal nach, dass du keinen USN-Rollback bei dir in deinem AD hast.
How to detect and recover from a USN rollback in Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2
Zitat von @frankh68:
Ursache war - vermute ich - eine Imagebackup -Wiederherstellung von DC2 letzte Woche.
Bist du wirklich sicher, dass es damit erledigt ist?Ursache war - vermute ich - eine Imagebackup -Wiederherstellung von DC2 letzte Woche.
Schau noch mal nach, dass du keinen USN-Rollback bei dir in deinem AD hast.
How to detect and recover from a USN rollback in Windows Server 2003, Windows Server 2008, and Windows Server 2008 R2
Hallo,
falls ja, dann gehe ich richtig davon aus, der Einfachheit zuliebe folgende Schritte durchzuführen:
1) Demote DC2 zu Memberserver
2) Bereinigung via ADSIEDIT
3) Neue Integration des ehem. DC2 als Backup DC, alternativ separate Maschione ( sind alles virtuelle Maschinen )
Viele Gruesse
Frank
falls ja, dann gehe ich richtig davon aus, der Einfachheit zuliebe folgende Schritte durchzuführen:
1) Demote DC2 zu Memberserver
2) Bereinigung via ADSIEDIT
3) Neue Integration des ehem. DC2 als Backup DC, alternativ separate Maschione ( sind alles virtuelle Maschinen )
Viele Gruesse
Frank
Hallo,
habe beim Backupdoaincontroller "DMC" nochmal DCDIAG laufen lassen. Irgendwie hat er noch Probleme bei mit der Replizierung:
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = DMC
habe beim Backupdoaincontroller "DMC" nochmal DCDIAG laufen lassen. Irgendwie hat er noch Probleme bei mit der Replizierung:
Verzeichnisserverdiagnose
Anfangssetup wird ausgeführt:
Der Homeserver wird gesucht...
Homeserver = DMC
- Identifizierte AD-Gesamtstruktur.
Erforderliche Anfangstests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\DMC
Starting test: Connectivity
......................... DMC hat den Test Connectivity bestanden.
Primärtests werden ausgeführt.
Server wird getestet: Default-First-Site-Name\DMC
Starting test: Advertising
Achtung: Von DMC werden keine Ankündigungen als Zeitserver
vorgenommen.
......................... DMC hat den Test Advertising nicht
bestanden.
Starting test: FrsEvent
......................... DMC hat den Test FrsEvent bestanden.
Starting test: DFSREvent
......................... DMC hat den Test DFSREvent bestanden.
Starting test: SysVolCheck
......................... DMC hat den Test SysVolCheck bestanden.
Starting test: KccEvent
......................... DMC hat den Test KccEvent bestanden.
Starting test: KnowsOfRoleHolders
......................... DMC hat den Test KnowsOfRoleHolders
bestanden.
Starting test: MachineAccount
......................... DMC hat den Test MachineAccount bestanden.
Starting test: NCSecDesc
......................... DMC hat den Test NCSecDesc bestanden.
Starting test: NetLogons
......................... DMC hat den Test NetLogons bestanden.
Starting test: ObjectsReplicated
......................... DMC hat den Test ObjectsReplicated
bestanden.
Starting test: Replications
[Replications Check,DMC] Bei einer kürzlich ausgeführten Replikation
ist ein Fehler aufgetreten:
Von PDC nach DMC
Namenskontext:
DC=DomainDnsZones,DC=verwaltung,DC=ziegler-design,DC=local
Beim Replizieren ist ein Fehler aufgetreten (8606):
Es wurden nicht genügend Attribute übergeben, um ein Objekt zu erste
llen. Das Objekt ist eventuell nicht vorhanden, da es gelöscht oder in die Samml
ung veralteter Objekte aufgenommen wurde.
Auftreten des Fehlers: 2013-10-14 10:57:36.
Letzter erfolgreicher Vorgang: 2013-09-02 07:59:19.
Seit dem letzten erfolgreichen Vorgang sind 1363 Fehler
aufgetreten.
......................... DMC hat den Test Replications nicht
bestanden.
Starting test: RidManager
......................... DMC hat den Test RidManager bestanden.
Starting test: Services
......................... DMC hat den Test Services bestanden.
Starting test: SystemLog
......................... DMC hat den Test SystemLog bestanden.
Starting test: VerifyReferences
......................... DMC hat den Test VerifyReferences bestanden.
Partitionstests werden ausgeführt auf: ForestDnsZones
Starting test: CheckSDRefDom
......................... ForestDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... ForestDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: DomainDnsZones
Starting test: CheckSDRefDom
......................... DomainDnsZones hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... DomainDnsZones hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: Schema
Starting test: CheckSDRefDom
......................... Schema hat den Test CheckSDRefDom bestanden.
Starting test: CrossRefValidation
......................... Schema hat den Test CrossRefValidation
bestanden.
Partitionstests werden ausgeführt auf: Configuration
Starting test: CheckSDRefDom
......................... Configuration hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... Configuration hat den Test
CrossRefValidation bestanden.
Partitionstests werden ausgeführt auf: verwaltung
Starting test: CheckSDRefDom
......................... verwaltung hat den Test CheckSDRefDom
bestanden.
Starting test: CrossRefValidation
......................... verwaltung hat den Test CrossRefValidation
bestanden.
Unternehmenstests werden ausgeführt auf: verwaltung.ziegler-design.local
Starting test: LocatorCheck
......................... verwaltung.ziegler-design.local hat den Test
LocatorCheck bestanden.
Starting test: Intersite
......................... verwaltung.local hat den Test
Intersite bestanden.
Ende --------------------------------------------------------------
...Also, wenn ich die Zeit entgegensetze, die ich brauchen würde, um die Lösungsvorschläge in dem Attikel umzusetzen, dann habe ich den 2. DC 10 mal schneller gekillt und neu aufgesetzt. Zeit ist Geld 
. Die Maschine via DCPROMO herabzustufen, habe ich ansatzweise versucht: Die Ausführung ist jedoch nicht möglich, da der 1. DC keine Replikationsanforderungen entgegennimmt. Er hat sich also wieder gesperrt.
Wäre es statt dessen nicht möglich, den 2. DC per "Holzhammermethode" zu killen und mittels ADSIEDIT die paar verbliebenen Einträge nachträglich zu löschen und den 2. DC schön sauber neu zu installieren ( kann auch einenn anderen Hostnamen haben ) ?? Zur INfo: Es handelt sich jeweils um virtuelle Server. Snapshots wurden erstellt, der Fallback wäre jederzeit möglich.
VG
Frank
. Die Maschine via DCPROMO herabzustufen, habe ich ansatzweise versucht: Die Ausführung ist jedoch nicht möglich, da der 1. DC keine Replikationsanforderungen entgegennimmt. Er hat sich also wieder gesperrt.Wäre es statt dessen nicht möglich, den 2. DC per "Holzhammermethode" zu killen und mittels ADSIEDIT die paar verbliebenen Einträge nachträglich zu löschen und den 2. DC schön sauber neu zu installieren ( kann auch einenn anderen Hostnamen haben ) ?? Zur INfo: Es handelt sich jeweils um virtuelle Server. Snapshots wurden erstellt, der Fallback wäre jederzeit möglich.
VG
Frank
Moin,
Weiß ich nicht... wir halten uns immer an die Microsoftvorgaben.
Grüße,
Dani
Weiß ich nicht... wir halten uns immer an die Microsoftvorgaben.
Zur INfo: Es handelt sich jeweils um virtuelle Server. Snapshots wurden erstellt, der Fallback wäre jederzeit möglich.
Aja, das ist natürlich prima. Les dich bitte mal zu Snapshots und DCs ein. Da wirst du ausschließlich negative Erfahrungen lesen. DCs immer als Systemstate-Sicherung erstellen!Grüße,
Dani
Hallo Dani,
danke für den Tipp, das Problem ist tatsächlich bekannt, ab Win server 2012 soll dies angeblich nicht mehr auftreten.
Bevor ich das AD neu aufbaue ( mir graust es !! ) , nachfolgend ein paar Passagen aus dem DCDIAG -Output am PDC:
(Anmerkung: PDC ist der Schema Master, der DMC ist der sekundäre DC.)
1)
Default -First-site-Name\PDC
...Beim Versuch, den PDC zu erreichen, eurden vom DsGetDcName Infos für \\DMC\domain.local zurückgegeben. DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
PDC hat den Test für Advertising nicht bestanden.
2)
Starting Test: DFSREvent
Für den Zeitraum der letzten 24 Std. seit Freigabe des Sysvol sind Warnungen od. Fehlerereignisse vorhanden. Fehler bei der Sysvol Replikation können Probleme mit der GPO zur Folge haben.
PDC hat den Test DFSREvent nicht bestanden.
3)
Starting Test Locator Check: Fehler beim aufrufen von DcGetDcName(Good_TimeServer_Prefered): 1355
es wurde kein geeigneter Zeitserver gefunden.
Was wäre denn empfehlenswert an dieser Stelle zu tun ?
VG
Frank
danke für den Tipp, das Problem ist tatsächlich bekannt, ab Win server 2012 soll dies angeblich nicht mehr auftreten.
Bevor ich das AD neu aufbaue ( mir graust es !! ) , nachfolgend ein paar Passagen aus dem DCDIAG -Output am PDC:
(Anmerkung: PDC ist der Schema Master, der DMC ist der sekundäre DC.)
1)
Default -First-site-Name\PDC
...Beim Versuch, den PDC zu erreichen, eurden vom DsGetDcName Infos für \\DMC\domain.local zurückgegeben. DER SERVER REAGIERT NICHT oder GILT ALS UNGEEIGNET.
PDC hat den Test für Advertising nicht bestanden.
2)
Starting Test: DFSREvent
Für den Zeitraum der letzten 24 Std. seit Freigabe des Sysvol sind Warnungen od. Fehlerereignisse vorhanden. Fehler bei der Sysvol Replikation können Probleme mit der GPO zur Folge haben.
PDC hat den Test DFSREvent nicht bestanden.
3)
Starting Test Locator Check: Fehler beim aufrufen von DcGetDcName(Good_TimeServer_Prefered): 1355
es wurde kein geeigneter Zeitserver gefunden.
Was wäre denn empfehlenswert an dieser Stelle zu tun ?
VG
Frank
danke für den Tipp, das Problem ist tatsächlich bekannt, ab Win server 2012 soll dies angeblich nicht mehr auftreten.
Jein, aber das ist ein anderes Thema.Hast du den KB-Artikel soweit bearbeitet und konfiguriert?!
Grüße,
Dani
Hallo,
wie ich dem KB Artikel entnehmen kann, beziehen sich die Inhalte eher auf die fehlerhafte Replikation. Aus Zeitgründen würde ich gerne auf die Holzhammermethode setzen und den fehlerhaften 2. DC killen und anschliessend dessen Einträge manuell im DC1 bereinigen . netdom query fsmo verweist kpl. auf den 1. DC, dieser meckert lt. dcdiag eigentlich nur noch den fehlenden Zeitserver an. Nur ich bin bisher nicht fündig geworden, wie man dieses Problem beheben kann.
Viele Gruesse
Frank
wie ich dem KB Artikel entnehmen kann, beziehen sich die Inhalte eher auf die fehlerhafte Replikation. Aus Zeitgründen würde ich gerne auf die Holzhammermethode setzen und den fehlerhaften 2. DC killen und anschliessend dessen Einträge manuell im DC1 bereinigen . netdom query fsmo verweist kpl. auf den 1. DC, dieser meckert lt. dcdiag eigentlich nur noch den fehlenden Zeitserver an. Nur ich bin bisher nicht fündig geworden, wie man dieses Problem beheben kann.
Viele Gruesse
Frank
Moin Frank,
Grüße,
Dani
Aus Zeitgründen würde ich gerne auf die Holzhammermethode setzen und den fehlerhaften
Okay, da bin ich leider raus.Grüße,
Dani
Hallo Dani,
das verstehe ich. Ich bin zufällig auf folgenden Artikel gestossen:
http://support.microsoft.com/kb/135646/de
Ich denke, das würde sich passend auf das Zeitserverproblem beziehen. Mich wundert nur, dass der Registry Eintrag "Zeitquelle" deutsch ist.
Viele Gruesse
Frank
das verstehe ich. Ich bin zufällig auf folgenden Artikel gestossen:
http://support.microsoft.com/kb/135646/de
Ich denke, das würde sich passend auf das Zeitserverproblem beziehen. Mich wundert nur, dass der Registry Eintrag "Zeitquelle" deutsch ist.
Viele Gruesse
Frank
Du hast gesehen, für welche Betriebsysteme der Artikel gilt?
In meinen ersten Kommentar habe ich geschrieben, dass du die Uhrzeit und Zonen vergleichen solltest.
Normalerweiße syncronisiert jeder DC mit einer anderen Zeitquelle. Die Doku findest du hier.
Grüße,
Dani
In meinen ersten Kommentar habe ich geschrieben, dass du die Uhrzeit und Zonen vergleichen solltest.
Normalerweiße syncronisiert jeder DC mit einer anderen Zeitquelle. Die Doku findest du hier.
Grüße,
Dani
sorry, das OS mit dem hatte ich übersehen. Habe nochmal in die Dienste des DC1 geschaut: Der Windows Zeitgeberdienst war down und konnte aufgrund des gestoppten Anmeldedienstes nicht gestartet weden. Testweise habe ich den Anmeldedienst gestartet und schon läuft der Windows Zeitgeberdienst wieder. Anschliessend nochmal Dcdiag ausgeführt und es wird nur noch hingewiesen, dass der DC1 momentan keine Replikationsanforderungen mehr entgegen nimmt. Sicherheitshalber lasse ich dies deaktiviert. Datum und Uhrzeit sind bei beiden DC's gleich, das Datum ebenso.
vg
Fra nk
vg
Fra nk