Replikation zwischen 2 Domänencontrollern
Hallo zusammen.
Ich bin ein newi in sachen Windows 2003 Server. Hab folgendes Problem.
Ich versuch schon seit einiger Zeit 2 Domänencontroller zu replizieren. Der eine heißt PDC-Server der andere ISA-Server. Der PDC ist der Primarycontroller. Also sollen seine einstellungen auf den ISA repliziert werde.
Habs schon über Active Directory Standort und Dienste probiert und über Replmon.exe.
Wenn ich auf dem PDC in Active Directory Standort und Dienste drin bin und mir da den ISA-Server raussuche und das ganze so einstelle das er sich replizieren soll bringt er beim start der Replikation den Fehler:
Bei dem Versuch domänencontroller ISA-Server zu kontaktieren ist folgender Fehler aufgetreten:
Der RPC ist nicht verfügbar.
Ursache hierfür ist möglicherweiße ein DNS-Lookup problem.
Wer kann mir helfen das die Replikation einwandfrei funktioniert.
Danke schonmal
mfg
DaAlex
Ich bin ein newi in sachen Windows 2003 Server. Hab folgendes Problem.
Ich versuch schon seit einiger Zeit 2 Domänencontroller zu replizieren. Der eine heißt PDC-Server der andere ISA-Server. Der PDC ist der Primarycontroller. Also sollen seine einstellungen auf den ISA repliziert werde.
Habs schon über Active Directory Standort und Dienste probiert und über Replmon.exe.
Wenn ich auf dem PDC in Active Directory Standort und Dienste drin bin und mir da den ISA-Server raussuche und das ganze so einstelle das er sich replizieren soll bringt er beim start der Replikation den Fehler:
Bei dem Versuch domänencontroller ISA-Server zu kontaktieren ist folgender Fehler aufgetreten:
Der RPC ist nicht verfügbar.
Ursache hierfür ist möglicherweiße ein DNS-Lookup problem.
Wer kann mir helfen das die Replikation einwandfrei funktioniert.
Danke schonmal
mfg
DaAlex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33926
Url: https://administrator.de/contentid/33926
Ausgedruckt am: 14.11.2024 um 13:11 Uhr
23 Kommentare
Neuester Kommentar
Hi,
das ist ein grösseres Stück Arbeit, fürchte ich. Die Replikation funktioniert von sich aus ganz gut, wenn das AD ordentlich aufgesetzt ist - dazu gehört auch eine vernünftig funktionierende DNS Struktur.
Welche Einträge stehen denn in den Ereignisprotokollen, welche auf Fehlfunktionen im AD deuten könnten?
Wer hat denn seinerzeit die Domäne installiert, warst Du das selbst? Mach doch mal auf beiden Servern ein "dcdiag" - eventuell installieren mit den Support-Tools.
cu,
Alex
das ist ein grösseres Stück Arbeit, fürchte ich. Die Replikation funktioniert von sich aus ganz gut, wenn das AD ordentlich aufgesetzt ist - dazu gehört auch eine vernünftig funktionierende DNS Struktur.
Welche Einträge stehen denn in den Ereignisprotokollen, welche auf Fehlfunktionen im AD deuten könnten?
Wer hat denn seinerzeit die Domäne installiert, warst Du das selbst? Mach doch mal auf beiden Servern ein "dcdiag" - eventuell installieren mit den Support-Tools.
cu,
Alex
In den einstellung der enstprechenden serverdienste ist irgendwo ein häckchen "replikation zulassen" das muss gesetzt sein
wo genau, musse dich mal en bills durch die laschen klicken
machste ne mmc auf und fügst das entsprechende snap-in des gewünschten diensts hinzu. und rufst per rechtsklick die eigenschaften auf
wo genau, musse dich mal en bills durch die laschen klicken
machste ne mmc auf und fügst das entsprechende snap-in des gewünschten diensts hinzu. und rufst per rechtsklick die eigenschaften auf
Hi,
sorry, das ist doch alles gülle, das hier rüberkommt:
- der eine spricht von PDC und BDC in einem AD-Umfeld. Jungs, sowas gibt es nicht. Alles DC's sind (nahezu) gleichberechtigt - das einzige, was die DC's unterscheidet, sind die sog. Betriebsmaster (FSMO-Rollen).
- Auf dem zweiten Domaincontroller ist das Passwort anders als auf dem ersten? Was ist das denn? Die Benutzerdatenbank ist im AD gespeichert und sollte (nicht wie in Deinem Fall) auf allen DC's identisch sein - wenn eben die Replikation passt.
- eine Vetrauensstellung zwischen zwei Servern? Naja, wenn man so will, dann gibt es sowas ähnliches ... den Secure Channel, mit Hilfe dessen die beiden DC's kommunizieren.
Remote kann ich für dieses Problem keine Hilfe anbieten, hoffe aber, dass das keine wirklich produktive AD-Domäne betreibt mit solchen garstigem Halbwissen ...
- dcdiag habe ich laufen lassen: Was kam denn dabei raus?
cu,
Alex
sorry, das ist doch alles gülle, das hier rüberkommt:
- der eine spricht von PDC und BDC in einem AD-Umfeld. Jungs, sowas gibt es nicht. Alles DC's sind (nahezu) gleichberechtigt - das einzige, was die DC's unterscheidet, sind die sog. Betriebsmaster (FSMO-Rollen).
- Auf dem zweiten Domaincontroller ist das Passwort anders als auf dem ersten? Was ist das denn? Die Benutzerdatenbank ist im AD gespeichert und sollte (nicht wie in Deinem Fall) auf allen DC's identisch sein - wenn eben die Replikation passt.
- eine Vetrauensstellung zwischen zwei Servern? Naja, wenn man so will, dann gibt es sowas ähnliches ... den Secure Channel, mit Hilfe dessen die beiden DC's kommunizieren.
Remote kann ich für dieses Problem keine Hilfe anbieten, hoffe aber, dass das keine wirklich produktive AD-Domäne betreibt mit solchen garstigem Halbwissen ...
- dcdiag habe ich laufen lassen: Was kam denn dabei raus?
cu,
Alex
@DaAlex:
das verschieben von Betriebsmastern wird nicht funktionieren, da dein ganzes AD nicht geht. Was man machen kann, wäre einen DC zu zwingen, einen bestimmten Betriebsmaster zu haben - egal, was eventuell ein anderer DC dazu sagt - aber das ist nicht gut in Deiner Umgebung.
Was man probieren könnte wäre deinen zweiten, nicht funktionsfähigen AD Controller aus dem AD zu entfernen, notfalls mit Gewalt. Dies kann in mehreren Stufen geschehen:
Stufe 1: dcpromo ganz normal. Wenn das nicht geht, weiter mit Stufe 2
Stufe 2: dcpromo -forceremoval (ich glaube, der Parameter heisst so)
Stufe 3: mit ntdsutil alle Referenzen auf dem funktionsfähigen DC löschen, die auf den nicht funktionsfähigen DC zeigen (Stichwort: remove orphaned domain controller from active directory metabase)
Stufe 4: im DNS die Referenzen auf den alten nicht funktionsfähigen DC löschen.
Wenn das alles sauber gemacht ist, dann kannst mit dcpromo den alten Domaincontroller (der ja nur keiner mehr ist) wieder zum DC hochstufen. Vorher checken, ob die Namensauflösung mit Hostname, FQDN vom neuen DC aus für den alten DC funktioniert.
Wenn der DC sauber läuft, dann würde ich mal noch einen DNS raufmachen, die Zonen im alten DC sollten alle Active Diretory integriert sein, dann werden die Zonen automatisch repliziert. Anschliessend in den TCP/IP Einstellungen eines jeden Servers jeweils den anderen als primären DNS Server eintragen, als sekundären sich selbst.
An der Replikation muss man eigentlich gar nichts machen, die läuft von alleine recht sauber.
Frage vorab: Kam in den dcdiag Läufen Fehlermeldungen von Kerberos, Secure Channel oder etwas, dass SYSVOL nicht geshared sei?
cu,
Alex
das verschieben von Betriebsmastern wird nicht funktionieren, da dein ganzes AD nicht geht. Was man machen kann, wäre einen DC zu zwingen, einen bestimmten Betriebsmaster zu haben - egal, was eventuell ein anderer DC dazu sagt - aber das ist nicht gut in Deiner Umgebung.
Was man probieren könnte wäre deinen zweiten, nicht funktionsfähigen AD Controller aus dem AD zu entfernen, notfalls mit Gewalt. Dies kann in mehreren Stufen geschehen:
Stufe 1: dcpromo ganz normal. Wenn das nicht geht, weiter mit Stufe 2
Stufe 2: dcpromo -forceremoval (ich glaube, der Parameter heisst so)
Stufe 3: mit ntdsutil alle Referenzen auf dem funktionsfähigen DC löschen, die auf den nicht funktionsfähigen DC zeigen (Stichwort: remove orphaned domain controller from active directory metabase)
Stufe 4: im DNS die Referenzen auf den alten nicht funktionsfähigen DC löschen.
Wenn das alles sauber gemacht ist, dann kannst mit dcpromo den alten Domaincontroller (der ja nur keiner mehr ist) wieder zum DC hochstufen. Vorher checken, ob die Namensauflösung mit Hostname, FQDN vom neuen DC aus für den alten DC funktioniert.
Wenn der DC sauber läuft, dann würde ich mal noch einen DNS raufmachen, die Zonen im alten DC sollten alle Active Diretory integriert sein, dann werden die Zonen automatisch repliziert. Anschliessend in den TCP/IP Einstellungen eines jeden Servers jeweils den anderen als primären DNS Server eintragen, als sekundären sich selbst.
An der Replikation muss man eigentlich gar nichts machen, die läuft von alleine recht sauber.
Frage vorab: Kam in den dcdiag Läufen Fehlermeldungen von Kerberos, Secure Channel oder etwas, dass SYSVOL nicht geshared sei?
cu,
Alex
Hi,
dann schau mal bitte nach, ob SYSVOL freigegeben ist (net view \\servername bzw. dir \\Servername\sysvol).
Die Fehler sind Einträge in den Ereignisprotokollen, die nach der Freigabe von Sysvolsind - Abhilfe würde ein Löschen der Ereignisprotokolle bringen, das aber natürlich eine Ursachenerforschung "etwas" erschwert.
cu,
Alex
dann schau mal bitte nach, ob SYSVOL freigegeben ist (net view \\servername bzw. dir \\Servername\sysvol).
Die Fehler sind Einträge in den Ereignisprotokollen, die nach der Freigabe von Sysvolsind - Abhilfe würde ein Löschen der Ereignisprotokolle bringen, das aber natürlich eine Ursachenerforschung "etwas" erschwert.
cu,
Alex