elburrito
Goto Top

Probleme mit Netlogon

Hallo zusammen,

ich habe ein (für mich nicht ganz nachzuvollziehendes) Problemchen.
Bei einem Kunden habe ich vor kurzem einen Win-2003-Server abgelöst, mit Zwischenschritt auf Server 2008 für Migration auf mindestens 2016/2019-Server. Das hat auch soweit bestens funktioniert, keine Fehler o.ä. bei Umzug und auch die Replikationen ohne Fehler.
Den Srv-2003 habe ich im Anschluss heruntergestuft und "nur" noch als normalen Server aktiv (muss leider noch so sein wg. einer alten Software, Umzug steht aber bevor).

Nun stellte ich fest, dass der Netlogon-Ordner auf dem Srv-2008 nicht mehr vorhanden ist, ebenfalls nicht auf dem zweiten DC (Srv-2016). Sysvol ist aber vorhanden und erreichbar.

Hier mal Ausgabe dcdiag auf dem Srv-2008 (aktuell noch Inhaber aller FSMO Rollen):
   Der Homeserver wird gesucht...
   Homeserver = srv-2008
   * Identifizierte AD-Gesamtstruktur. 
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgefhrt.
   
   Server wird getestet: Standardname-des-ersten-Standorts\SRV-2008
      Starting test: Connectivity
         ......................... SRV-2008 hat den Test Connectivity
         bestanden.

Prim„rtests werden ausgefhrt.   
   Server wird getestet: Standardname-des-ersten-Standorts\SRV-2008
      Starting test: Advertising
         ......................... SRV-2008 hat den Test Advertising bestanden.

      Starting test: FrsEvent
         ......................... SRV-2008 hat den Test FrsEvent bestanden.

      Starting test: DFSREvent
         ......................... SRV-2008 hat den Test DFSREvent bestanden.

      Starting test: SysVolCheck
         ......................... SRV-2008 hat den Test SysVolCheck bestanden.

      Starting test: KccEvent
         ......................... SRV-2008 hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders
         ......................... SRV-2008 hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount
         ......................... SRV-2008 hat den Test MachineAccount

         bestanden.

      Starting test: NCSecDesc
         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine 
            Replicating Directory Changes In Filtered Set
         Zugriffsrechte fr den Namenskontext:
         DC=ForestDnsZones,DC=XXXX,DC=de
         Fehler: NT-AUTORITŽT\DOMŽNENCONTROLLER DER ORGANISATION besitzt keine 
            Replicating Directory Changes In Filtered Set
         Zugriffsrechte fr den Namenskontext:

         DC=DomainDnsZones,DC=XXXX,DC=de
         ......................... SRV-2008 hat den Test NCSecDesc nicht

         bestanden.

      Starting test: NetLogons
         Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt
         werden. (\\SRV-2008\netlogon)
         [SRV-2008] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist  
         der Fehler 67 aufgetreten, Der Netzwerkname wurde nicht gefunden..
         ......................... SRV-2008 hat den Test NetLogons nicht
         bestanden.

      Starting test: ObjectsReplicated
         ......................... SRV-2008 hat den Test ObjectsReplicated
         bestanden.

      Starting test: Replications
         ......................... SRV-2008 hat den Test Replications
         bestanden.

      Starting test: RidManager
         ......................... SRV-2008 hat den Test RidManager bestanden.

      Starting test: Services
         ......................... SRV-2008 hat den Test Services bestanden.

      Starting test: SystemLog
         ......................... SRV-2008 hat den Test SystemLog bestanden.

      Starting test: VerifyReferences
         ......................... SRV-2008 hat den Test VerifyReferences
         bestanden.

      
   Partitionstests werden ausgefhrt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom
         bestanden.

      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test
         CrossRefValidation bestanden.
   
   Partitionstests werden ausgefhrt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom
         bestanden.

      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test
         CrossRefValidation bestanden.
   
   Partitionstests werden ausgefhrt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation
         bestanden.
   
   Partitionstests werden ausgefhrt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation
         ......................... Configuration hat den Test
         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: XXXX
      Starting test: CheckSDRefDom
         ......................... XXXX hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation
         ......................... XXXX hat den Test CrossRefValidation
         bestanden.

   
   Unternehmenstests werden ausgefhrt auf: XXXX
      Starting test: LocatorCheck
         ......................... XXXX hat den Test LocatorCheck
         bestanden.

      Starting test: Intersite
         ......................... XXXX hat den Test Intersite bestanden.

Ausgabe dcdiag auf Srv-2016:
Verzeichnisserverdiagnose
Anfangssetup wird ausgefhrt:
   Der Homeserver wird gesucht...
   Homeserver = SRV-DC
   * Identifizierte AD-Gesamtstruktur. 
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgefhrt.   
   Server wird getestet: Standardname-des-ersten-Standorts\SRV-DC
      Starting test: Connectivity
         ......................... SRV-DC hat den Test Connectivity bestanden.

Prim„rtests werden ausgefhrt.  
   Server wird getestet: Standardname-des-ersten-Standorts\SRV-DC
      Starting test: Advertising
         ......................... SRV-DC hat den Test Advertising bestanden.
      Starting test: FrsEvent
         ......................... SRV-DC hat den Test FrsEvent bestanden.
      Starting test: DFSREvent
         ......................... SRV-DC hat den Test DFSREvent bestanden.
      Starting test: SysVolCheck
         ......................... SRV-DC hat den Test SysVolCheck bestanden.
      Starting test: KccEvent
         ......................... SRV-DC hat den Test KccEvent bestanden.
      Starting test: KnowsOfRoleHolders
         ......................... SRV-DC hat den Test KnowsOfRoleHolders
         bestanden.
      Starting test: MachineAccount
         ......................... SRV-DC hat den Test MachineAccount
         bestanden.

      Starting test: NCSecDesc
         ......................... SRV-DC hat den Test NCSecDesc bestanden.
      Starting test: NetLogons
         Die Verbindung mit der NETLOGON-Freigabe kann nicht hergestellt
         werden. (\\SRV-DC\netlogon)
         [SRV-DC] Bei einem Vorgang vom Typ "net use" oder "LsaPolicy" ist der  
         Fehler 67 aufgetreten, Der Netzwerkname wurde nicht gefunden..
         ......................... Der Test NetLogons fr SRV-DC ist
         fehlgeschlagen.

      Starting test: ObjectsReplicated
         ......................... SRV-DC hat den Test ObjectsReplicated
         bestanden.
      Starting test: Replications
         ......................... SRV-DC hat den Test Replications bestanden.
      Starting test: RidManager
         ......................... SRV-DC hat den Test RidManager bestanden.
      Starting test: Services
         ......................... SRV-DC hat den Test Services bestanden.
      Starting test: SystemLog
         ......................... SRV-DC hat den Test SystemLog bestanden.
      Starting test: VerifyReferences
         ......................... SRV-DC hat den Test VerifyReferences
         bestanden.   
   
   Partitionstests werden ausgefhrt auf: ForestDnsZones
      Starting test: CheckSDRefDom
         ......................... ForestDnsZones hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... ForestDnsZones hat den Test
         CrossRefValidation bestanden.
   
   Partitionstests werden ausgefhrt auf: DomainDnsZones
      Starting test: CheckSDRefDom
         ......................... DomainDnsZones hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... DomainDnsZones hat den Test
         CrossRefValidation bestanden.

   
   Partitionstests werden ausgefhrt auf: Schema
      Starting test: CheckSDRefDom
         ......................... Schema hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... Schema hat den Test CrossRefValidation
         bestanden.
   
   Partitionstests werden ausgefhrt auf: Configuration
      Starting test: CheckSDRefDom
         ......................... Configuration hat den Test CheckSDRefDom
         bestanden.
      Starting test: CrossRefValidation
         ......................... Configuration hat den Test
         CrossRefValidation bestanden.
   
   Partitionstests werden ausgefhrt auf: XXXX
      Starting test: CheckSDRefDom
         ......................... XXXX hat den Test CheckSDRefDom bestanden.
      Starting test: CrossRefValidation
         ......................... XXXX hat den Test CrossRefValidation
         bestanden.
   
   Unternehmenstests werden ausgefhrt auf: XXXX
      Starting test: LocatorCheck
         ......................... XXXX hat den Test LocatorCheck
         bestanden.
      Starting test: Intersite
         ......................... XXXXX hat den Test Intersite bestanden.
Die Meldung beim NCSecDesc ist bekannt, aber eigentlich erstmal nicht dramatisch (zumindest beim durchforsten des Netz der Netze hieß es, dass es für Netlogon nicht schlimm wäre; lasse mich da aber gern eines besseren belehren (: )

Auffällig beim NetLogons: "Netzwerkname nicht gefunden", und ab da wirds merkwürdig:
Abfragen wie nslookup, repadmin /showrepl (repadmin Abfragen allgemein ohne Fehler), dnslint-tool laufen alle sauber durch.
alte DNS Einträge im DNS-Admin sind bereits bereinigt, ipconfig /flushdns durchgeführt und einige Neustarts
Server untereinander (Srv-2008 und Srv-2016) können sich normal per DNS-Name anpingen, Srv-2008 hat den Srv-2016 als primären DNS und umgekehrt
im Netzwerk allgemein sind keine Probleme vorhanden, außer natürlich, dass zB GPOs nicht angewandt werden können wg. dem NetLogon Problemchen.

Replikation Srv-2008:
Repadmin: Befehl "/showrepl" wird fr den vollst„ndigen DC "localhost" ausgefhrt  
Standardname-des-ersten-Standorts\SRV-2008
DSA-Optionen: IS_GC 
Standortoptionen: (none)
DSA-Objekt-GUID: b54bc182-7b45-447a-bb9d-329f2cfbbdc7
DSA-Aufrufkennung: 43232b32-fd6e-4c8e-b451-e54dbce9400c
==== EINGEHENDE NACHBARN=====================================
DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-DC ber RPC
        DSA-Objekt-GUID: 25488bcd-8b6d-44a6-90ab-eb7c888d7e2a
        Letzter Versuch am 2021-12-28 15:52:49 war erfolgreich.
CN=Configuration,DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-DC ber RPC
        DSA-Objekt-GUID: 25488bcd-8b6d-44a6-90ab-eb7c888d7e2a
        Letzter Versuch am 2021-12-28 15:45:06 war erfolgreich.
CN=Schema,CN=Configuration,DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-DC ber RPC
        DSA-Objekt-GUID: 25488bcd-8b6d-44a6-90ab-eb7c888d7e2a
        Letzter Versuch am 2021-12-28 15:45:06 war erfolgreich.
DC=DomainDnsZones,DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-DC ber RPC
        DSA-Objekt-GUID: 25488bcd-8b6d-44a6-90ab-eb7c888d7e2a
        Letzter Versuch am 2021-12-28 15:45:06 war erfolgreich.
DC=ForestDnsZones,DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-DC ber RPC
        DSA-Objekt-GUID: 25488bcd-8b6d-44a6-90ab-eb7c888d7e2a
        Letzter Versuch am 2021-12-28 15:45:06 war erfolgreich.
Replikation Srv-2016:
Repadmin: Befehl "/showrepl" wird fr den vollst„ndigen DC "localhost" ausgefhrt  
Standardname-des-ersten-Standorts\SRV-DC
DSA-Optionen: IS_GC 
Standortoptionen: (none)
DSA-Objekt-GUID: 25488bcd-8b6d-44a6-90ab-eb7c888d7e2a
DSA-Aufrufkennung: 24df31ae-dc0b-412b-ad4f-f858bb9e951f
==== EINGEHENDE NACHBARN=====================================
DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-2008 ber RPC
        DSA-Objekt-GUID: b54bc182-7b45-447a-bb9d-329f2cfbbdc7
        Letzter Versuch am 2021-12-28 15:45:35 war erfolgreich.
CN=Configuration,DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-2008 ber RPC
        DSA-Objekt-GUID: b54bc182-7b45-447a-bb9d-329f2cfbbdc7
        Letzter Versuch am 2021-12-28 15:13:46 war erfolgreich.
CN=Schema,CN=Configuration,DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-2008 ber RPC
        DSA-Objekt-GUID: b54bc182-7b45-447a-bb9d-329f2cfbbdc7
        Letzter Versuch am 2021-12-28 15:13:46 war erfolgreich.
DC=DomainDnsZones,DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-2008 ber RPC
        DSA-Objekt-GUID: b54bc182-7b45-447a-bb9d-329f2cfbbdc7
        Letzter Versuch am 2021-12-28 15:19:06 war erfolgreich.
DC=ForestDnsZones,DC=XXXX,DC=de
    Standardname-des-ersten-Standorts\SRV-2008 ber RPC
        DSA-Objekt-GUID: b54bc182-7b45-447a-bb9d-329f2cfbbdc7
        Letzter Versuch am 2021-12-28 15:13:46 war erfolgreich.

Hat da evtl. jemand noch eine Idee ?

Was ich bisher versucht habe:
Check BurFlags und widerherstellung; nach Neustart Replikationsdienst stellt der Wert (D4 auth. bzw D2 non-auth.) sich wie gewohnt wieder auf 0, aber es tut sich nichts weiter
alte DNS Einträge bereinigt, Cache DNS bereinigt
Serverneustarts
manuelle Replikation gestartet; fehlerfrei abgeschlossen
Recherche u.a. hier im Forum, aber leider nicht mit endgültigem Erfolg

Danke im Voraus, Jo

Content-ID: 1666633853

Url: https://administrator.de/forum/probleme-mit-netlogon-1666633853.html

Ausgedruckt am: 22.12.2024 um 19:12 Uhr

bloodstix
bloodstix 28.12.2021 um 17:14:36 Uhr
Goto Top
Hi, schau dir das hier mal an:

https://community.spiceworks.com/topic/368585-domain-controller-not-crea ...

Denke dein Versuch war schon der richtige Weg, aber irgend ein Detail nicht eingehalten.
yumper
yumper 28.12.2021 um 19:22:08 Uhr
Goto Top
hello

was sagt den repadmin /replsummary?

warte einmal einen Tag und schau dir dann alles noch einmal an.

Manche Dinge brauchen ihre Zeit

So long

Yumper
JasperBeardley
JasperBeardley 28.12.2021 um 21:35:15 Uhr
Goto Top
Moin,

du hast die FSR Replikation repariert.
Die ist aber mit Server 2016 ohne Funktion.
Du musst da auf DFSR migriert haben.

Wie die repariert wird ist hier beschrieben:
Klick

Gruß
Jasper
ruzentan
ruzentan 28.12.2021 um 22:50:13 Uhr
Goto Top
Eine Lösung gefunden? face-smile
elburrito
elburrito 29.12.2021 um 08:18:47 Uhr
Goto Top
Moinsen

Zitat von @bloodstix:

Hi, schau dir das hier mal an:

https://community.spiceworks.com/topic/368585-domain-controller-not-crea ...

Denke dein Versuch war schon der richtige Weg, aber irgend ein Detail nicht eingehalten.

Danke für deinen Input, genau den Weg bin ich bereits gegangen; leider ohne den dort erzielten Erfolg...


Zitat von @yumper:

hello

was sagt den repadmin /replsummary?

warte einmal einen Tag und schau dir dann alles noch einmal an.

Manche Dinge brauchen ihre Zeit

So long

Yumper

Der Befehl zeigt auch keine Probleme/Fehler an, hier mal die Ausgabe:
Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
Quell-DSA          Größtes Delta    Fehler/gesamt %%  Fehler
 SRV-2008                  18m:08s    0 /   5    0
 SRV-DC                    27m:35s    0 /   5    0
Ziel-DSA           Größtes Delta    Fehler/gesamt %%  Fehler
 SRV-2008                  27m:35s    0 /   5    0
 SRV-DC                    18m:08s    0 /   5    0



Zitat von @JasperBeardley:

Moin,

du hast die FSR Replikation repariert.
Die ist aber mit Server 2016 ohne Funktion.
Du musst da auf DFSR migriert haben.

Wie die repariert wird ist hier beschrieben:
Klick

Gruß
Jasper

Die Migration auf DFSR habe ich bereits durchgeführt, das hat auch soweit funktioniert. Den Ansatz hatte ich gestern auch noch gefunden, jedoch ist die Struktur im ADSI so nicht vorhanden, also die Einträge sind nicht zu finden.

Es sieht etwas danach aus, als wenn irgendwas mit der Replikation so gar nicht läuft (obwohl alle Abfragen das Gegenteil aussagen), schaut man zB auf dem Srv-2016 in die DFS-Verwaltung (Servermanager/Tools) kenne ich das so, dass dort das Domain System Volume aufgeführt ist und man zB die SysVol-Shares der DCs sieht. Hier ist aber rein gar nichts vorhanden und ich kann es auch nicht manuell hinzufügen.


Erstmal danke für Euren Input, ich werde heute Nachmittag nochmal an das Thema rangehen und Updates schicken
elburrito
Lösung elburrito 05.01.2022 aktualisiert um 11:37:41 Uhr
Goto Top
Moin!

Sorry for delay, der tolle Corona-Virus hat mich niedergehauen....

Status: es läuft !
wie gemacht? etwas schmierig face-smile

- zunächst habe ich mir mal die GPOs angeschaut, da waren die Default Domain Controller- & Default Domain-Policy defekt, Fehlermeldung direkt bei Auswahl in der Verwaltung "nicht vorhanden" (oder so ähnlich). Die ID war auch nicht mehr im SYSVOL-Ordner. Also hab ich per dcgpofix diese neu erstellen lassen, zwar wurde dabei ein Fehler angezeigt aber beide waren im Anschluss nutzbar.

nun wirds schmierig:
- NETLOGON kam trotz allem nicht automatisch wieder an Start, Replikationen etc liefen aber weiterhin laut Konsole ohne Probleme. Ebenfalls brachte dcdiag "nur" den Fehler bzgl. netlogon weiterhin. Also habe ich ganz stumpf den Ordner "scripts" im SYSVOL des Haupt-DC (Srv-2016) manuell erstellt und mit Bezeichnung "NETLOGON" freigegeben mit entsprechenden Rechten. Dieser wurde dann auch fehlerfrei repliziert (musste nur nochmal manuell auf dem DC2 freigegeben werden)
- im Anschluss login-Skript erstellt und einem Testuser hinzugefügt; Anmeldung ohne Probleme und auch das gewünschte Laufwerk war direkt angebunden ohne Fehler/Warnungen. Auch die GPOs wurden wieder normal angewandt

Ich weiss, nicht nicht grade "best practice" aber was ist das schon bei Microschrott face-smile


Danke auf jeden Fall für Euren Input & ich hoffe das hilft dem ein oder anderen auch weiter