17
Keine Anmeldung am DC möglich nach Patchday Rollback
Liebe Admins,
ich habe aktuell ein akutes Problem mit einem Windows-Server und würde mich sehr über jede Hilfe freuen.
Es geht um einen Dell PowerEdge T340 Server mit Windows Server 2019 System - Physischer Server - Patchstand: März 2024 - Rollen: AD, DNS, DHCP - kleines Büro, einziger Server, daher auch einziger DC (in der Theorie schlecht, ich weiß - aber in der Praxis ist es leider oft so) - Daten sind gesichert
Der Server sollte gestern nach und nach auf den aktuellen Patchstand gebracht werden. Installiert wurde als erstes das 2024-04 Windows Update (KB5036896). Die Installation schien erst erfolgreich, nach dem Boot wurde das Update jedoch beim Hochfahren wieder zurückgerollt:
"Die Updates konnten nicht eingerichtet werden. Änderungen werden rückgängig gemacht“
Als ich mich dann mit dem Domainadmin wieder anmelden wollte kam folgende Fehlermeldung:
Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisation verbunden ist… (System - NETLOGON - ID 5719)
Das Netzwerksymbol unten rechts zeigte zusätzlich ein rotes Kreuz.
Mehrere Bootvorgänge, auch ordentliches Herunterfahren haben keine Änderung gebracht.
Ich konnte mich dann immerhin im Abgesicherten Modus anmelden und Zugriff auf die Daten bekommen. Dort begann ich dann mit der Fehleranalyse:
- Im Updateverlauf steht das Update als Fehlgeschlagen mit dem Fehlercode 0x800f0923
- Ereignisprotokoll ist voll mit Fehlern, dass einige Dienste nach dem Boot nicht gestartet werden konnten (meist zwecks Abhängigkeit von AD Dienst)
o so ziemlich jeder Boot führt zu „Warum wurde der Computer unerwartet heruntergefahren?“ wobei ich den Bootvorgang in der IDRAC beobachten kann und keinen Absturz erkenne kann. Auch hier gibt das Eventlog keine nützlichen Infos zu, außer ID 6008)
- IDRAC Management zeigt keine Hardwarefehler an
o das Update wurde am gleichen Tag auch auf anderen baugleichen Servern ohne Probleme installiert
- Get-WindowsUpdateLog ergab u.a. folgende Fehler:
- *FAILED* [8024000C] Method failed [CAgentUpdateManager::ManufactureHistoryEventForOSUpgrade:14953]
- *FAILED* [8024000C] LoadHistoryEventFromRegistry completed
- *FAILED* [80010106] ReadPolicy: failed
- *FAILED* [80240013] m_services.Add()
- *FAILED* [80240013] Method failed [CAgentServiceManager::CreateServiceObjectAndAddIntoMap:2034]
- *FAILED* [80240013] Method failed [CAgentServiceManager::DelayedInit:2678]
- *FAILED* [80248014] Method failed [CAgentServiceManager::GetServiceObject:1902]
- *FAILED* [80248014] Method failed [CClientCallRecorder::RemoveService:5267]
- *FAILED* [80248014] ISusInternal:: RemoveService
- *FAILED* [80248014] GetServiceObject couldn't find service 'E251E23E-591B-49BD-A1A0-3A275EC91853'.
- *FAILED* [80248014] Method failed [CAgentServiceManager::GetServiceObject:1902]
- Got error querying the post-reboot status for session 31119391_1297193351: 0x80010108.
Daraufhin habe ich folgende Sachen versucht:
- Das März Update aus dem Updatekatalog herunterladen und manuell installieren
o gleicher Fehler: Installation erfolgreich, nach dem Boot konfiguriert er bis 30 %, startet dann neu und beginnt mit dem Rollback
- Gleiches testweise für die April-Mai-Juni-Juli Updates
o alles der gleiche Fehler
- Installation der .NET Updates von März (kam zusammen): Immerhin erfolgreich installiert
- Server testweise ohne LAN-Verbindung starten: kein Erfolg
- sfc /scannow: keine Fehler
- DISM /Online /Cleanup-Image /Restorehealth: erfolgreich abgeschlossen, Problem weiterhin
- UpdateCache Ordner C:\Windows\SoftwareDistribution umbenennen, booten, April Update erneut installieren: gleicher Fehler
Es gibt ein lokales Windows Serverabbild, jedoch ist dieses von 09-2023. Wäre also nicht die erste Wahl. Sicher gibt es noch viele Tools, um das AD zu testen / reparieren, ntdsutil wäre so ein Stichwort. Jedoch begebe ich mich da in Gebiete wo ich ehrlich sagen muss, dass ich damit keine Erfahrungen habe und hoffe hier ein paar gute Tipps zu bekommen.
Ich würde mich riesig über jede Hilfe freuen!
Liebe Grüße
Toni
ich habe aktuell ein akutes Problem mit einem Windows-Server und würde mich sehr über jede Hilfe freuen.
Es geht um einen Dell PowerEdge T340 Server mit Windows Server 2019 System - Physischer Server - Patchstand: März 2024 - Rollen: AD, DNS, DHCP - kleines Büro, einziger Server, daher auch einziger DC (in der Theorie schlecht, ich weiß - aber in der Praxis ist es leider oft so) - Daten sind gesichert
Der Server sollte gestern nach und nach auf den aktuellen Patchstand gebracht werden. Installiert wurde als erstes das 2024-04 Windows Update (KB5036896). Die Installation schien erst erfolgreich, nach dem Boot wurde das Update jedoch beim Hochfahren wieder zurückgerollt:
"Die Updates konnten nicht eingerichtet werden. Änderungen werden rückgängig gemacht“
Als ich mich dann mit dem Domainadmin wieder anmelden wollte kam folgende Fehlermeldung:
Sie können mit diesen Anmeldeinformationen nicht angemeldet werden, weil Ihre Domäne nicht verfügbar ist. Stellen Sie sicher, dass Ihr Gerät mit dem Netzwerk Ihrer Organisation verbunden ist… (System - NETLOGON - ID 5719)
Das Netzwerksymbol unten rechts zeigte zusätzlich ein rotes Kreuz.
Mehrere Bootvorgänge, auch ordentliches Herunterfahren haben keine Änderung gebracht.
Ich konnte mich dann immerhin im Abgesicherten Modus anmelden und Zugriff auf die Daten bekommen. Dort begann ich dann mit der Fehleranalyse:
- Im Updateverlauf steht das Update als Fehlgeschlagen mit dem Fehlercode 0x800f0923
- Ereignisprotokoll ist voll mit Fehlern, dass einige Dienste nach dem Boot nicht gestartet werden konnten (meist zwecks Abhängigkeit von AD Dienst)
o so ziemlich jeder Boot führt zu „Warum wurde der Computer unerwartet heruntergefahren?“ wobei ich den Bootvorgang in der IDRAC beobachten kann und keinen Absturz erkenne kann. Auch hier gibt das Eventlog keine nützlichen Infos zu, außer ID 6008)
- IDRAC Management zeigt keine Hardwarefehler an
o das Update wurde am gleichen Tag auch auf anderen baugleichen Servern ohne Probleme installiert
- Get-WindowsUpdateLog ergab u.a. folgende Fehler:
- *FAILED* [8024000C] Method failed [CAgentUpdateManager::ManufactureHistoryEventForOSUpgrade:14953]
- *FAILED* [8024000C] LoadHistoryEventFromRegistry completed
- *FAILED* [80010106] ReadPolicy: failed
- *FAILED* [80240013] m_services.Add()
- *FAILED* [80240013] Method failed [CAgentServiceManager::CreateServiceObjectAndAddIntoMap:2034]
- *FAILED* [80240013] Method failed [CAgentServiceManager::DelayedInit:2678]
- *FAILED* [80248014] Method failed [CAgentServiceManager::GetServiceObject:1902]
- *FAILED* [80248014] Method failed [CClientCallRecorder::RemoveService:5267]
- *FAILED* [80248014] ISusInternal:: RemoveService
- *FAILED* [80248014] GetServiceObject couldn't find service 'E251E23E-591B-49BD-A1A0-3A275EC91853'.
- *FAILED* [80248014] Method failed [CAgentServiceManager::GetServiceObject:1902]
- Got error querying the post-reboot status for session 31119391_1297193351: 0x80010108.
Daraufhin habe ich folgende Sachen versucht:
- Das März Update aus dem Updatekatalog herunterladen und manuell installieren
o gleicher Fehler: Installation erfolgreich, nach dem Boot konfiguriert er bis 30 %, startet dann neu und beginnt mit dem Rollback
- Gleiches testweise für die April-Mai-Juni-Juli Updates
o alles der gleiche Fehler
- Installation der .NET Updates von März (kam zusammen): Immerhin erfolgreich installiert
- Server testweise ohne LAN-Verbindung starten: kein Erfolg
- sfc /scannow: keine Fehler
- DISM /Online /Cleanup-Image /Restorehealth: erfolgreich abgeschlossen, Problem weiterhin
- UpdateCache Ordner C:\Windows\SoftwareDistribution umbenennen, booten, April Update erneut installieren: gleicher Fehler
Es gibt ein lokales Windows Serverabbild, jedoch ist dieses von 09-2023. Wäre also nicht die erste Wahl. Sicher gibt es noch viele Tools, um das AD zu testen / reparieren, ntdsutil wäre so ein Stichwort. Jedoch begebe ich mich da in Gebiete wo ich ehrlich sagen muss, dass ich damit keine Erfahrungen habe und hoffe hier ein paar gute Tipps zu bekommen.
Ich würde mich riesig über jede Hilfe freuen!
Liebe Grüße
Toni
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2145823294
Url: https://administrator.de/contentid/2145823294
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
17 Kommentare
Neuester Kommentar
Mahlzeit.
Die Updates sind ja kumulativ, weswegen du prinzipiell nicht den Weg über alle, monatlichen Updates gehen müsstest.
Wie sind die Daten gesichert? Nur die weiter unten im Text erwähnte, lokale Sicherung des Windows Systems (nehme ich an)? Die Frage, warum die letzte Sicherung fast ein Jahr alt ist, stellen wir mal nicht
Startet denn der Server im "Abgesicherten Modus mit Netzwerk"?
Sind die Treiber des T340 aktuell?
Von der Hardware gleich oder auch Domain Controller?
Es wäre ratsam hier sich externe Hilfe zu suchen (nicht unbedingt in Foren).
Gruß
Marc
Die Updates sind ja kumulativ, weswegen du prinzipiell nicht den Weg über alle, monatlichen Updates gehen müsstest.
Wie sind die Daten gesichert? Nur die weiter unten im Text erwähnte, lokale Sicherung des Windows Systems (nehme ich an)? Die Frage, warum die letzte Sicherung fast ein Jahr alt ist, stellen wir mal nicht
Das Netzwerksymbol unten rechts zeigte zusätzlich ein rotes Kreuz.
Startet denn der Server im "Abgesicherten Modus mit Netzwerk"?
Sind die Treiber des T340 aktuell?
- IDRAC Management zeigt keine Hardwarefehler an
o das Update wurde am gleichen Tag auch auf anderen baugleichen Servern ohne Probleme installiert
o das Update wurde am gleichen Tag auch auf anderen baugleichen Servern ohne Probleme installiert
Von der Hardware gleich oder auch Domain Controller?
Jedoch begebe ich mich da in Gebiete wo ich ehrlich sagen muss, dass ich damit keine Erfahrungen habe und hoffe hier ein paar gute Tipps zu bekommen.
Es wäre ratsam hier sich externe Hilfe zu suchen (nicht unbedingt in Foren).
Gruß
Marc
Das Netzwerksymbol unten rechts zeigte zusätzlich ein rotes Kreuz.
Was sagte ein Mouseover über dieses Kreuz aus?Und mittlerweile ist das behoben? Oder hast du gar keine Tests gemacht, andere anzupingen, bzw. Den DC von anderen aus anzupingen in diesem Zustand?
Daran liegt's doch, Uodatelogs interessieren zunächst nicht.
Hallo Marc,
danke für deinen Post. Zu deinen Fragen:
Die Daten (nicht das System) sind natürlich aktuell auf RDX Tapes gesichert. Nur das Systemabbild ist veraltet, das wird meist nur sporadisch vor großen Änderungen angelegt (das wird sich zukünftig ändern).
Der Server startet im abgesicherten Modus mit Netzwerk. Das klappt soweit.
Bei den anderen Server ist die Hardware gleich und es sind auch DCs.
Die Treiber vom T340 sind nicht komplett aktuell. Das schaue ich mir aktuell an.
Wenn man nach dem Fehlercode vom Update sucht, stößt man oft auf Treiberprobleme, hier versuche ich gerade anzusetzen. Gibt es denn eine Möglichkeit um herauszufinden, mit welchen Treiber er ggf. Probleme hat? Im UpdateLog stand nichts dazu.
danke für deinen Post. Zu deinen Fragen:
Die Daten (nicht das System) sind natürlich aktuell auf RDX Tapes gesichert. Nur das Systemabbild ist veraltet, das wird meist nur sporadisch vor großen Änderungen angelegt (das wird sich zukünftig ändern).
Der Server startet im abgesicherten Modus mit Netzwerk. Das klappt soweit.
Bei den anderen Server ist die Hardware gleich und es sind auch DCs.
Die Treiber vom T340 sind nicht komplett aktuell. Das schaue ich mir aktuell an.
Wenn man nach dem Fehlercode vom Update sucht, stößt man oft auf Treiberprobleme, hier versuche ich gerade anzusetzen. Gibt es denn eine Möglichkeit um herauszufinden, mit welchen Treiber er ggf. Probleme hat? Im UpdateLog stand nichts dazu.
MouseOver sagt: "Internet", beim Klick darauf kann ich den Flugzeugmodus aktivieren.
Der DC ist über die IP anzupingen. Nur DNS klappt nicht.
Der DC ist über die IP anzupingen. Nur DNS klappt nicht.
Dann hast du dein Problem. DNS.
Nur DNS klappt nicht.
Zwei Zeilen mehr wären angebracht 
Du kannst auf dem DC bitte mal dns.msc starten - öffnet das denn noch?
Können clients per
nslookup andererclientname
noch andere Clients auflösen und wird der DC dabei als Server korrekt angezeigt?
Ja, DNS oder ggf. AD. Gibt es denn Möglichkeiten, was man im abgesicherten Modus zur Behebung tun könnte?
Ja, sorry
Ich komme ja aktuell nur in den abgesicherten Modus, da die Anmeldung nicht klappt.
Die DNS-Konsole sagt: Server nicht gefunden. Der DNS-Dienst läuft auch nicht.
Denke das liegt ggf. daran, dass ich im abgesicherten Modus unterwegs bin?
Die DNS-Auslösung der Clients klappt daher nicht und der Server wird nicht angezeigt.
Im Servermanager gibt es keine DNS-Fehler, weil der Dienst nicht läuft.
Starte ich den DNS-Dienst kommt Fehler 1068 (Abhängigkeitsdienst nicht gestartet).
Ich komme ja aktuell nur in den abgesicherten Modus, da die Anmeldung nicht klappt.
Die DNS-Konsole sagt: Server nicht gefunden. Der DNS-Dienst läuft auch nicht.
Denke das liegt ggf. daran, dass ich im abgesicherten Modus unterwegs bin?
Die DNS-Auslösung der Clients klappt daher nicht und der Server wird nicht angezeigt.
Im Servermanager gibt es keine DNS-Fehler, weil der Dienst nicht läuft.
Starte ich den DNS-Dienst kommt Fehler 1068 (Abhängigkeitsdienst nicht gestartet).
Zur weiteren Diagnose der Diensteverfügbarkeit, starte den DC normal und melde dich an mit Nutzername
.\administrator
Dabei wird nicht an der Domänen angemeldet.
1
In Ordnung, das hatte ich schon gemacht. So komme ich in den abgesicherten Modus am DC.
Du sollst nicht in den abgesicherten. Geht so keine normale Anmeldung mit .\administrator? Sollte gehen.
1
Oh, sorry... ich dachte das wäre normal. Hatte mich zuvor nie so am DC angemeldet.
Nein, wenn ich in der Anmeldemaske bin und mich mit .\Administrator einlogge, komme ich automatisch in den abgesicherten Modus.
Ganz nebenbei: Vielen Dank erst einmal, dass du deine Hilfe anbietest
Nein, wenn ich in der Anmeldemaske bin und mich mit .\Administrator einlogge, komme ich automatisch in den abgesicherten Modus.
Ganz nebenbei: Vielen Dank erst einmal, dass du deine Hilfe anbietest
Nein, wenn ich in der Anmeldemaske bin und mich mit .\Administrator einlogge, komme ich automatisch in den abgesicherten Modus.
Was? Nee. Der abgesicherte Modus wird doch beim Bootvorgang angesteuert. Wenn Du normal bootest und dann .\administrator eingibst, dann bist du nicht im abgesicherten Modus.1
Hey DerWoWusste,
1.000 Dank mit verwischten Glückstränen im Gesicht! Ich bin dummerweise wirklich davon ausgegangen, dass das ein normales verhalten ist, und habe das gar nicht hinterfragt. Erst dein Post brachte mich dazu.
Ich habe nun einfach mit bcdedit /deletevalue safeboot den Eintrag für den safeboot entfernt und
ICH KANN MICH ANMELDEN!
Ich werde jetzt alles hübsch testen und mich noch einmal abschließend melden.
Manchmal sind es die ganz kleinen Details, die ein riesigen Problem lösen.
Vielen Dank!!!
1.000 Dank mit verwischten Glückstränen im Gesicht! Ich bin dummerweise wirklich davon ausgegangen, dass das ein normales verhalten ist, und habe das gar nicht hinterfragt. Erst dein Post brachte mich dazu.
Ich habe nun einfach mit bcdedit /deletevalue safeboot den Eintrag für den safeboot entfernt und
ICH KANN MICH ANMELDEN!
Ich werde jetzt alles hübsch testen und mich noch einmal abschließend melden.
Manchmal sind es die ganz kleinen Details, die ein riesigen Problem lösen.
Vielen Dank!!!
Ich habe nun alles am Server getestet und konnte keine Probleme mehr feststellen.
Das Juni Update habe ich dann manuell installiert, auch hier keine Fehler.
Zusammenfassend kann man sagen:
Das Problem war, dass die Anmeldung am DC nach dem Update Rollback immer im abgesicherten Modus stattgefunden hat, wo AD und DNS nicht laufen. Die Lösung war hier der Befehl "bcdedit /deletevalue safeboot" und ein erneuter Reboot. Vielleicht hilft dies noch jemanden an anderer Stelle weiter.
Vielen Dank noch einmal, besonders an DerWoWusste. Es hilft schon unheimlich einmal mit anderen Admins die Köpfe zusammenzustecken um dann gemeinsam auf eine Lösung zu kommen.
Danke!
Das Juni Update habe ich dann manuell installiert, auch hier keine Fehler.
Zusammenfassend kann man sagen:
Das Problem war, dass die Anmeldung am DC nach dem Update Rollback immer im abgesicherten Modus stattgefunden hat, wo AD und DNS nicht laufen. Die Lösung war hier der Befehl "bcdedit /deletevalue safeboot" und ein erneuter Reboot. Vielleicht hilft dies noch jemanden an anderer Stelle weiter.
Vielen Dank noch einmal, besonders an DerWoWusste. Es hilft schon unheimlich einmal mit anderen Admins die Köpfe zusammenzustecken um dann gemeinsam auf eine Lösung zu kommen.
Danke!
2
Warum sollte ein Updaterollback sowas auslösen? Seltsame Geschichte...mit gutem Ende. Freut mich.
1
Zitat von @DerWoWusste:
Zur weiteren Diagnose der Diensteverfügbarkeit, starte den DC normal und melde dich an mit Nutzername
.\administrator
Dabei wird nicht an der Domänen angemeldet.Dürfte das mit lokalen Konten auf einem DC nicht schwierig werden?
