23
Replikation zwischen 2 Domänencontrollern
Hallo zusammen.
Ich bin ein newi in sachen Windows 2003 Server. Hab folgendes Problem.
Ich versuch schon seit einiger Zeit 2 Domänencontroller zu replizieren. Der eine heißt PDC-Server der andere ISA-Server. Der PDC ist der Primarycontroller. Also sollen seine einstellungen auf den ISA repliziert werde.
Habs schon über Active Directory Standort und Dienste probiert und über Replmon.exe.
Wenn ich auf dem PDC in Active Directory Standort und Dienste drin bin und mir da den ISA-Server raussuche und das ganze so einstelle das er sich replizieren soll bringt er beim start der Replikation den Fehler:
Bei dem Versuch domänencontroller ISA-Server zu kontaktieren ist folgender Fehler aufgetreten:
Der RPC ist nicht verfügbar.
Ursache hierfür ist möglicherweiße ein DNS-Lookup problem.
Wer kann mir helfen das die Replikation einwandfrei funktioniert.
Danke schonmal
mfg
DaAlex
Ich bin ein newi in sachen Windows 2003 Server. Hab folgendes Problem.
Ich versuch schon seit einiger Zeit 2 Domänencontroller zu replizieren. Der eine heißt PDC-Server der andere ISA-Server. Der PDC ist der Primarycontroller. Also sollen seine einstellungen auf den ISA repliziert werde.
Habs schon über Active Directory Standort und Dienste probiert und über Replmon.exe.
Wenn ich auf dem PDC in Active Directory Standort und Dienste drin bin und mir da den ISA-Server raussuche und das ganze so einstelle das er sich replizieren soll bringt er beim start der Replikation den Fehler:
Bei dem Versuch domänencontroller ISA-Server zu kontaktieren ist folgender Fehler aufgetreten:
Der RPC ist nicht verfügbar.
Ursache hierfür ist möglicherweiße ein DNS-Lookup problem.
Wer kann mir helfen das die Replikation einwandfrei funktioniert.
Danke schonmal
mfg
DaAlex
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 33926
Url: https://administrator.de/contentid/33926
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
23 Kommentare
Neuester Kommentar
Moin,
1.Wie ist die Domäne Strukturiert?
2.Besteht eine Vertrauensstellung zwischen beiden Domänen Controllern?
3.Verwenden die DC einen DNS-Server oder läuft auf beiden DCs einer?
Funktioniert die Namensauflösung korrekt?
Überprüfe das mal mit nslookup ob er beide DC-Namen auflösen kann.
mfg Markus
1.Wie ist die Domäne Strukturiert?
2.Besteht eine Vertrauensstellung zwischen beiden Domänen Controllern?
3.Verwenden die DC einen DNS-Server oder läuft auf beiden DCs einer?
Funktioniert die Namensauflösung korrekt?
Überprüfe das mal mit nslookup ob er beide DC-Namen auflösen kann.
mfg Markus
Hi,
das ist ein grösseres Stück Arbeit, fürchte ich. Die Replikation funktioniert von sich aus ganz gut, wenn das AD ordentlich aufgesetzt ist - dazu gehört auch eine vernünftig funktionierende DNS Struktur.
Welche Einträge stehen denn in den Ereignisprotokollen, welche auf Fehlfunktionen im AD deuten könnten?
Wer hat denn seinerzeit die Domäne installiert, warst Du das selbst? Mach doch mal auf beiden Servern ein "dcdiag" - eventuell installieren mit den Support-Tools.
cu,
Alex
das ist ein grösseres Stück Arbeit, fürchte ich. Die Replikation funktioniert von sich aus ganz gut, wenn das AD ordentlich aufgesetzt ist - dazu gehört auch eine vernünftig funktionierende DNS Struktur.
Welche Einträge stehen denn in den Ereignisprotokollen, welche auf Fehlfunktionen im AD deuten könnten?
Wer hat denn seinerzeit die Domäne installiert, warst Du das selbst? Mach doch mal auf beiden Servern ein "dcdiag" - eventuell installieren mit den Support-Tools.
cu,
Alex
Hier im Forum finden sich zig Artiekl zum Thema AD mit zwei DCs und die korrekten DNS Einstellungen, da wird auch dein Problem bereits mehrfach geloest, also:
Bitte Forumsuche verwenden!
danke.
Bitte Forumsuche verwenden!
danke.
danke erstmal für die schnelle antwort.
- Der PDC ist der primäre dc. Der ISA soll der backup dc werden.
besteht nicht
der PDC ist der dns server auf dem ISA läuft keiner
Funktioniert die Namensauflösung
korrekt?
ja
funktioniert.
DNS-Server hat die eigenen Host-Einträge (A) aktualisiert. Um sicherzustellen, dass die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server replizieren können, wurde versucht, diese mit dem neuen Eintrag mittels dynamischer Aktualisierung zu aktualisieren. Dabei ist ein Fehler aufgetreten. Die Daten enthalten den Fehlercode.
Wenn dieser DNS-Server keine verzeichnisdienstintegrierten Peers
besitzt, sollte dieser Fehler ignoriert werden.
Wenn die Replikationspartner des Active Directorys für diesen DNS-Server nicht die richtige IP-Adresse(n) für diesen Server haben, können sie nicht mit ihm replizieren.
Führen Sie folgende Schritte aus, um sicherzustellen, dass die Replikation ordnungsgemäß durchgeführt wird:
1) Suchen Sie die Replikationspartner des Active Directory für diesen Server, die den DNS-Server ausführen.
2) Öffnen Sie den DNS-Manager und verbinden Sie sich der Reihe nach mit jedem der Replikationspartner.
3) Überprüfen Sie auf jedem der Server die Hostregistrierung (A-Eintrag) für DIESEN Server.
4) Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server entsprechen.
5) Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie mindestens einen A-Eintrag entsprechend einer Adresse auf diesem Server hinzufügen, die der Replikationspartner ansprechen kann. (Mit anderen Worten: Falls es mehrere IP-Adressen für diesen Server gibt, müssen Sie mindestens eine hinzufügen, die sich im selben Netzwerk wie der DNS-Server des Active Directory befindet, den Sie aktualisieren möchten.)
6) Es ist nicht notwendig, ALLE Replikationspartner zu aktualisieren. Es ist lediglich erforderlich, dass alle Einträge mit genügend Replikationspartnern verbunden sind, so dass jeder Server, der mit diesem Server repliziert, die neuen Daten (mittels Replikation) erhält.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
Der Fehler steht im Ereignisprotokoll unter DNS
Das war ich und ein kumpel. Die Replikation hat mein kumpel damals hinbekommen. Lief dann auch einwandfrei. Dann hab ich mal mein Passwort geändert. Seitdem gehts nicht mehr.
Mach doch
dcdiag ist gemacht.
mfg
1.Wie ist die Domäne Strukturiert?
- Der PDC ist der primäre dc. Der ISA soll der backup dc werden.
2.Besteht eine Vertrauensstellung zwischen
beiden Domänen Controllern?
beiden Domänen Controllern?
besteht nicht
3.Verwenden die DC einen DNS-Server oder
läuft auf beiden DCs einer?
läuft auf beiden DCs einer?
der PDC ist der dns server auf dem ISA läuft keiner
Funktioniert die Namensauflösung
korrekt?
ja
Überprüfe das mal mit nslookup ob
er beide DC-Namen auflösen kann.
er beide DC-Namen auflösen kann.
funktioniert.
Hi,
das ist ein grösseres Stück
Arbeit, fürchte ich. Die Replikation
funktioniert von sich aus ganz gut, wenn das
AD ordentlich aufgesetzt ist - dazu
gehört auch eine vernünftig
funktionierende DNS Struktur.
Welche Einträge stehen denn in den
Ereignisprotokollen, welche auf
Fehlfunktionen im AD deuten könnten?
das ist ein grösseres Stück
Arbeit, fürchte ich. Die Replikation
funktioniert von sich aus ganz gut, wenn das
AD ordentlich aufgesetzt ist - dazu
gehört auch eine vernünftig
funktionierende DNS Struktur.
Welche Einträge stehen denn in den
Ereignisprotokollen, welche auf
Fehlfunktionen im AD deuten könnten?
DNS-Server hat die eigenen Host-Einträge (A) aktualisiert. Um sicherzustellen, dass die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server replizieren können, wurde versucht, diese mit dem neuen Eintrag mittels dynamischer Aktualisierung zu aktualisieren. Dabei ist ein Fehler aufgetreten. Die Daten enthalten den Fehlercode.
Wenn dieser DNS-Server keine verzeichnisdienstintegrierten Peers
besitzt, sollte dieser Fehler ignoriert werden.
Wenn die Replikationspartner des Active Directorys für diesen DNS-Server nicht die richtige IP-Adresse(n) für diesen Server haben, können sie nicht mit ihm replizieren.
Führen Sie folgende Schritte aus, um sicherzustellen, dass die Replikation ordnungsgemäß durchgeführt wird:
1) Suchen Sie die Replikationspartner des Active Directory für diesen Server, die den DNS-Server ausführen.
2) Öffnen Sie den DNS-Manager und verbinden Sie sich der Reihe nach mit jedem der Replikationspartner.
3) Überprüfen Sie auf jedem der Server die Hostregistrierung (A-Eintrag) für DIESEN Server.
4) Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server entsprechen.
5) Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie mindestens einen A-Eintrag entsprechend einer Adresse auf diesem Server hinzufügen, die der Replikationspartner ansprechen kann. (Mit anderen Worten: Falls es mehrere IP-Adressen für diesen Server gibt, müssen Sie mindestens eine hinzufügen, die sich im selben Netzwerk wie der DNS-Server des Active Directory befindet, den Sie aktualisieren möchten.)
6) Es ist nicht notwendig, ALLE Replikationspartner zu aktualisieren. Es ist lediglich erforderlich, dass alle Einträge mit genügend Replikationspartnern verbunden sind, so dass jeder Server, der mit diesem Server repliziert, die neuen Daten (mittels Replikation) erhält.
Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie
Der Fehler steht im Ereignisprotokoll unter DNS
Wer hat denn seinerzeit die Domäne
installiert, warst Du das selbst?
installiert, warst Du das selbst?
Das war ich und ein kumpel. Die Replikation hat mein kumpel damals hinbekommen. Lief dann auch einwandfrei. Dann hab ich mal mein Passwort geändert. Seitdem gehts nicht mehr.
Mach doch
mal auf beiden Servern ein "dcdiag"
- eventuell installieren mit den
Support-Tools.
- eventuell installieren mit den
Support-Tools.
dcdiag ist gemacht.
mfg
Die Vertrauensstellung muss bestehen ohne diese Funktioniert die Replikation nicht. Also richte eine neue Vertrauensteelung ein und danach müsste das Problem behoben sein.
mfg Markus
mfg Markus
Die Vertrauensstellung muss bestehen ohne
diese Funktioniert die Replikation nicht.
Also richte eine neue Vertrauensteelung ein
und danach müsste das Problem behoben
sein.
mfg Markus
diese Funktioniert die Replikation nicht.
Also richte eine neue Vertrauensteelung ein
und danach müsste das Problem behoben
sein.
mfg Markus
die beiden Server sind in der gleichen domäne. Wie richte ich da eine Vertrauenstellung ein? Beim einrichten will er vertrauenstellungen zwischen domänen herstellen.
Schuldige kleiner Lesefehler. Was sagt er dir den in der replmon.exe da kannst du auf Fehler scannen.
action-domain und dann auf run search da kannst die DC auf Fehler scannen.
mfg markus
action-domain und dann auf run search da kannst die DC auf Fehler scannen.
mfg markus
habs am pdc ausgeführt
Er sagt :
DC-Name: ISA-Server
Diretory Partition: <ERROR: Server unreachable>
Er sagt :
DC-Name: ISA-Server
Diretory Partition: <ERROR: Server unreachable>
ich hab vor einiger zeit mal ne passwortänderung durchgeführt. Der ISA Server hat ein anderes PW als der PDC. Jetzt wollt ich das PW am ISA änder. Geht leider nicht da die Kennwortrichtlinien sehr scharf eingestellt sind. Jetzt wollt ich in die Sicherheitrichtlinien am ISA und da erscheint dann die meldung: Das Gruppenrichlinienobjekt konnte nicht geöffnet werden. Möglicherweise verfügen sie nicht über die erforderlichen Rechte. Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig.
Hab aber die Rechte als Admin. Habs auch schon mitm OAdmin probiert. Das gleiche
Hab aber die Rechte als Admin. Habs auch schon mitm OAdmin probiert. Das gleiche
Mal ne blöde frage. Hast du die Replikation auf deinem Primärserver erlaubt/zugelassen?
ich denke schon mal. Wo könnt ich des einstellen oder wie überprüf ich das?
In den einstellung der enstprechenden serverdienste ist irgendwo ein häckchen "replikation zulassen" das muss gesetzt sein
wo genau, musse dich mal en bills durch die laschen klicken
machste ne mmc auf und fügst das entsprechende snap-in des gewünschten diensts hinzu. und rufst per rechtsklick die eigenschaften auf
wo genau, musse dich mal en bills durch die laschen klicken
machste ne mmc auf und fügst das entsprechende snap-in des gewünschten diensts hinzu. und rufst per rechtsklick die eigenschaften auf
ok. werd ich mal probieren. Hab grad festgestellt wenn ich am pdc versuche zu replizieren oder die replikationstopologie überprüfen lassen will kommt die meldung.
Der RPC-Server ist nicht verüfgbar.
Der RPC-Server ist nicht verüfgbar.
Versuchst du von deinem 2. server die einstellungen zu ziehen oder schiebst du sie von deinem 1. server rüber?
ich will vom 1. server (pdc) die Einstellungen auf den 2. Server (ISA) schieben.
wie gesagt überprüfen ob die replikation erlaubt ist
und dann auf dem 2. DC das ganze als replik bzw. sekundäre zone etc. einrichten
und dann auf dem 2. DC das ganze als replik bzw. sekundäre zone etc. einrichten
ich finde nichts wo ich die replikation zulassen könnte. hab alle infragekommenden dienste durchgeschaut. würde es was bringen wenn ich am 2. dc die AD neu aufsetze? oder hab ich danach noch mehr chaos als jetzt?
Inwiefern ist der RPC-Server interessant und wie könnte ich den konfigurieren?
MFG
Inwiefern ist der RPC-Server interessant und wie könnte ich den konfigurieren?
MFG
Hi,
sorry, das ist doch alles gülle, das hier rüberkommt:
- der eine spricht von PDC und BDC in einem AD-Umfeld. Jungs, sowas gibt es nicht. Alles DC's sind (nahezu) gleichberechtigt - das einzige, was die DC's unterscheidet, sind die sog. Betriebsmaster (FSMO-Rollen).
- Auf dem zweiten Domaincontroller ist das Passwort anders als auf dem ersten? Was ist das denn? Die Benutzerdatenbank ist im AD gespeichert und sollte (nicht wie in Deinem Fall) auf allen DC's identisch sein - wenn eben die Replikation passt.
- eine Vetrauensstellung zwischen zwei Servern? Naja, wenn man so will, dann gibt es sowas ähnliches ... den Secure Channel, mit Hilfe dessen die beiden DC's kommunizieren.
Remote kann ich für dieses Problem keine Hilfe anbieten, hoffe aber, dass das keine wirklich produktive AD-Domäne betreibt mit solchen garstigem Halbwissen ...
- dcdiag habe ich laufen lassen: Was kam denn dabei raus?
cu,
Alex
sorry, das ist doch alles gülle, das hier rüberkommt:
- der eine spricht von PDC und BDC in einem AD-Umfeld. Jungs, sowas gibt es nicht. Alles DC's sind (nahezu) gleichberechtigt - das einzige, was die DC's unterscheidet, sind die sog. Betriebsmaster (FSMO-Rollen).
- Auf dem zweiten Domaincontroller ist das Passwort anders als auf dem ersten? Was ist das denn? Die Benutzerdatenbank ist im AD gespeichert und sollte (nicht wie in Deinem Fall) auf allen DC's identisch sein - wenn eben die Replikation passt.
- eine Vetrauensstellung zwischen zwei Servern? Naja, wenn man so will, dann gibt es sowas ähnliches ... den Secure Channel, mit Hilfe dessen die beiden DC's kommunizieren.
Remote kann ich für dieses Problem keine Hilfe anbieten, hoffe aber, dass das keine wirklich produktive AD-Domäne betreibt mit solchen garstigem Halbwissen ...
- dcdiag habe ich laufen lassen: Was kam denn dabei raus?
cu,
Alex
hi. was bei der dcdiag rauskam kann ich nicht ganz interpretieren.
Kannst du mir erklären wie ich am besten die Replikation aufbaue.
Ich will eigentlich nur das der PDC mit dem ISA Synchron ist. Über den Betriebsmaster hab ich auch schon bisschen was gelesen.
mfg
Kannst du mir erklären wie ich am besten die Replikation aufbaue.
Ich will eigentlich nur das der PDC mit dem ISA Synchron ist. Über den Betriebsmaster hab ich auch schon bisschen was gelesen.
mfg
wollte grad bei meinem 2. dc den Betriebsmaster ändern. Daraufhin kam die meldung das ich erst mal eine verbindung zum 1. dc herstellen muss. Das machte ich dann in der AD mit VERBINDUNG MIT DOMÄNENCONTROLLER HERSTELLEN. Wenn ich da dann meinen 1. dc angebe kommt die Meldung zugriff verweigert.
@DaAlex:
das verschieben von Betriebsmastern wird nicht funktionieren, da dein ganzes AD nicht geht. Was man machen kann, wäre einen DC zu zwingen, einen bestimmten Betriebsmaster zu haben - egal, was eventuell ein anderer DC dazu sagt - aber das ist nicht gut in Deiner Umgebung.
Was man probieren könnte wäre deinen zweiten, nicht funktionsfähigen AD Controller aus dem AD zu entfernen, notfalls mit Gewalt. Dies kann in mehreren Stufen geschehen:
Stufe 1: dcpromo ganz normal. Wenn das nicht geht, weiter mit Stufe 2
Stufe 2: dcpromo -forceremoval (ich glaube, der Parameter heisst so)
Stufe 3: mit ntdsutil alle Referenzen auf dem funktionsfähigen DC löschen, die auf den nicht funktionsfähigen DC zeigen (Stichwort: remove orphaned domain controller from active directory metabase)
Stufe 4: im DNS die Referenzen auf den alten nicht funktionsfähigen DC löschen.
Wenn das alles sauber gemacht ist, dann kannst mit dcpromo den alten Domaincontroller (der ja nur keiner mehr ist) wieder zum DC hochstufen. Vorher checken, ob die Namensauflösung mit Hostname, FQDN vom neuen DC aus für den alten DC funktioniert.
Wenn der DC sauber läuft, dann würde ich mal noch einen DNS raufmachen, die Zonen im alten DC sollten alle Active Diretory integriert sein, dann werden die Zonen automatisch repliziert. Anschliessend in den TCP/IP Einstellungen eines jeden Servers jeweils den anderen als primären DNS Server eintragen, als sekundären sich selbst.
An der Replikation muss man eigentlich gar nichts machen, die läuft von alleine recht sauber.
Frage vorab: Kam in den dcdiag Läufen Fehlermeldungen von Kerberos, Secure Channel oder etwas, dass SYSVOL nicht geshared sei?
cu,
Alex
das verschieben von Betriebsmastern wird nicht funktionieren, da dein ganzes AD nicht geht. Was man machen kann, wäre einen DC zu zwingen, einen bestimmten Betriebsmaster zu haben - egal, was eventuell ein anderer DC dazu sagt - aber das ist nicht gut in Deiner Umgebung.
Was man probieren könnte wäre deinen zweiten, nicht funktionsfähigen AD Controller aus dem AD zu entfernen, notfalls mit Gewalt. Dies kann in mehreren Stufen geschehen:
Stufe 1: dcpromo ganz normal. Wenn das nicht geht, weiter mit Stufe 2
Stufe 2: dcpromo -forceremoval (ich glaube, der Parameter heisst so)
Stufe 3: mit ntdsutil alle Referenzen auf dem funktionsfähigen DC löschen, die auf den nicht funktionsfähigen DC zeigen (Stichwort: remove orphaned domain controller from active directory metabase)
Stufe 4: im DNS die Referenzen auf den alten nicht funktionsfähigen DC löschen.
Wenn das alles sauber gemacht ist, dann kannst mit dcpromo den alten Domaincontroller (der ja nur keiner mehr ist) wieder zum DC hochstufen. Vorher checken, ob die Namensauflösung mit Hostname, FQDN vom neuen DC aus für den alten DC funktioniert.
Wenn der DC sauber läuft, dann würde ich mal noch einen DNS raufmachen, die Zonen im alten DC sollten alle Active Diretory integriert sein, dann werden die Zonen automatisch repliziert. Anschliessend in den TCP/IP Einstellungen eines jeden Servers jeweils den anderen als primären DNS Server eintragen, als sekundären sich selbst.
An der Replikation muss man eigentlich gar nichts machen, die läuft von alleine recht sauber.
Frage vorab: Kam in den dcdiag Läufen Fehlermeldungen von Kerberos, Secure Channel oder etwas, dass SYSVOL nicht geshared sei?
cu,
Alex
Hi.
Da kam ne meldung;
There are warning or error events within the last 24 hours after the sysvol has been shared. Failing sysvol replication problems may cause group policey problems.
und
PDC Server failed test frsevent
pdc server failed test systemlog
mfg
Da kam ne meldung;
There are warning or error events within the last 24 hours after the sysvol has been shared. Failing sysvol replication problems may cause group policey problems.
und
PDC Server failed test frsevent
pdc server failed test systemlog
mfg
Hi,
dann schau mal bitte nach, ob SYSVOL freigegeben ist (net view \\servername bzw. dir \\Servername\sysvol).
Die Fehler sind Einträge in den Ereignisprotokollen, die nach der Freigabe von Sysvolsind - Abhilfe würde ein Löschen der Ereignisprotokolle bringen, das aber natürlich eine Ursachenerforschung "etwas" erschwert.
cu,
Alex
dann schau mal bitte nach, ob SYSVOL freigegeben ist (net view \\servername bzw. dir \\Servername\sysvol).
Die Fehler sind Einträge in den Ereignisprotokollen, die nach der Freigabe von Sysvolsind - Abhilfe würde ein Löschen der Ereignisprotokolle bringen, das aber natürlich eine Ursachenerforschung "etwas" erschwert.
cu,
Alex
