daalex
Goto Top

Replikation zwischen 2 Domänencontrollern

Hallo zusammen.
Ich bin ein newi in sachen Windows 2003 Server. Hab folgendes Problem.
Ich versuch schon seit einiger Zeit 2 Domänencontroller zu replizieren. Der eine heißt PDC-Server der andere ISA-Server. Der PDC ist der Primarycontroller. Also sollen seine einstellungen auf den ISA repliziert werde.
Habs schon über Active Directory Standort und Dienste probiert und über Replmon.exe.
Wenn ich auf dem PDC in Active Directory Standort und Dienste drin bin und mir da den ISA-Server raussuche und das ganze so einstelle das er sich replizieren soll bringt er beim start der Replikation den Fehler:
Bei dem Versuch domänencontroller ISA-Server zu kontaktieren ist folgender Fehler aufgetreten:
Der RPC ist nicht verfügbar.
Ursache hierfür ist möglicherweiße ein DNS-Lookup problem.

Wer kann mir helfen das die Replikation einwandfrei funktioniert.

Danke schonmal

mfg
DaAlex

Content-ID: 33926

Url: https://administrator.de/contentid/33926

Ausgedruckt am: 14.11.2024 um 13:11 Uhr

Black-Scorpion
Black-Scorpion 29.09.2006 um 10:20:30 Uhr
Goto Top
Moin,
1.Wie ist die Domäne Strukturiert?
2.Besteht eine Vertrauensstellung zwischen beiden Domänen Controllern?
3.Verwenden die DC einen DNS-Server oder läuft auf beiden DCs einer?

Funktioniert die Namensauflösung korrekt?
Überprüfe das mal mit nslookup ob er beide DC-Namen auflösen kann.

mfg Markus
DaSam
DaSam 29.09.2006 um 10:22:25 Uhr
Goto Top
Hi,

das ist ein grösseres Stück Arbeit, fürchte ich. Die Replikation funktioniert von sich aus ganz gut, wenn das AD ordentlich aufgesetzt ist - dazu gehört auch eine vernünftig funktionierende DNS Struktur.

Welche Einträge stehen denn in den Ereignisprotokollen, welche auf Fehlfunktionen im AD deuten könnten?

Wer hat denn seinerzeit die Domäne installiert, warst Du das selbst? Mach doch mal auf beiden Servern ein "dcdiag" - eventuell installieren mit den Support-Tools.

cu,
Alex
Garfieldt
Garfieldt 29.09.2006 um 10:32:36 Uhr
Goto Top
Hier im Forum finden sich zig Artiekl zum Thema AD mit zwei DCs und die korrekten DNS Einstellungen, da wird auch dein Problem bereits mehrfach geloest, also:

Bitte Forumsuche verwenden!

danke.
DaAlex
DaAlex 29.09.2006 um 10:35:06 Uhr
Goto Top
danke erstmal für die schnelle antwort.


1.Wie ist die Domäne Strukturiert?

- Der PDC ist der primäre dc. Der ISA soll der backup dc werden.

2.Besteht eine Vertrauensstellung zwischen
beiden Domänen Controllern?

besteht nicht

3.Verwenden die DC einen DNS-Server oder
läuft auf beiden DCs einer?

der PDC ist der dns server auf dem ISA läuft keiner


Funktioniert die Namensauflösung
korrekt?

ja

Überprüfe das mal mit nslookup ob
er beide DC-Namen auflösen kann.

funktioniert.

Hi,

das ist ein grösseres Stück
Arbeit, fürchte ich. Die Replikation
funktioniert von sich aus ganz gut, wenn das
AD ordentlich aufgesetzt ist - dazu
gehört auch eine vernünftig
funktionierende DNS Struktur.

Welche Einträge stehen denn in den
Ereignisprotokollen, welche auf
Fehlfunktionen im AD deuten könnten?

DNS-Server hat die eigenen Host-Einträge (A) aktualisiert. Um sicherzustellen, dass die verzeichnisdienstintegrierten Peer-DNS-Server mit diesem Server replizieren können, wurde versucht, diese mit dem neuen Eintrag mittels dynamischer Aktualisierung zu aktualisieren. Dabei ist ein Fehler aufgetreten. Die Daten enthalten den Fehlercode.

Wenn dieser DNS-Server keine verzeichnisdienstintegrierten Peers
besitzt, sollte dieser Fehler ignoriert werden.

Wenn die Replikationspartner des Active Directorys für diesen DNS-Server nicht die richtige IP-Adresse(n) für diesen Server haben, können sie nicht mit ihm replizieren.

Führen Sie folgende Schritte aus, um sicherzustellen, dass die Replikation ordnungsgemäß durchgeführt wird:
1) Suchen Sie die Replikationspartner des Active Directory für diesen Server, die den DNS-Server ausführen.
2) Öffnen Sie den DNS-Manager und verbinden Sie sich der Reihe nach mit jedem der Replikationspartner.
3) Überprüfen Sie auf jedem der Server die Hostregistrierung (A-Eintrag) für DIESEN Server.
4) Löschen Sie alle A-Einträge, die NICHT IP-Adressen für diesen Server entsprechen.
5) Falls keine A-Einträge für diesen Server vorhanden sind, müssen Sie mindestens einen A-Eintrag entsprechend einer Adresse auf diesem Server hinzufügen, die der Replikationspartner ansprechen kann. (Mit anderen Worten: Falls es mehrere IP-Adressen für diesen Server gibt, müssen Sie mindestens eine hinzufügen, die sich im selben Netzwerk wie der DNS-Server des Active Directory befindet, den Sie aktualisieren möchten.)
6) Es ist nicht notwendig, ALLE Replikationspartner zu aktualisieren. Es ist lediglich erforderlich, dass alle Einträge mit genügend Replikationspartnern verbunden sind, so dass jeder Server, der mit diesem Server repliziert, die neuen Daten (mittels Replikation) erhält.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie

Der Fehler steht im Ereignisprotokoll unter DNS


Wer hat denn seinerzeit die Domäne
installiert, warst Du das selbst?

Das war ich und ein kumpel. Die Replikation hat mein kumpel damals hinbekommen. Lief dann auch einwandfrei. Dann hab ich mal mein Passwort geändert. Seitdem gehts nicht mehr.

Mach doch
mal auf beiden Servern ein "dcdiag"
- eventuell installieren mit den
Support-Tools.


dcdiag ist gemacht.

mfg
Black-Scorpion
Black-Scorpion 29.09.2006 um 10:43:27 Uhr
Goto Top
Die Vertrauensstellung muss bestehen ohne diese Funktioniert die Replikation nicht. Also richte eine neue Vertrauensteelung ein und danach müsste das Problem behoben sein.

mfg Markus
DaAlex
DaAlex 29.09.2006 um 10:49:47 Uhr
Goto Top
Die Vertrauensstellung muss bestehen ohne
diese Funktioniert die Replikation nicht.
Also richte eine neue Vertrauensteelung ein
und danach müsste das Problem behoben
sein.

mfg Markus

die beiden Server sind in der gleichen domäne. Wie richte ich da eine Vertrauenstellung ein? Beim einrichten will er vertrauenstellungen zwischen domänen herstellen.
Black-Scorpion
Black-Scorpion 29.09.2006 um 10:59:16 Uhr
Goto Top
Schuldige kleiner Lesefehler. Was sagt er dir den in der replmon.exe da kannst du auf Fehler scannen.

action-domain und dann auf run search da kannst die DC auf Fehler scannen.

mfg markus
DaAlex
DaAlex 29.09.2006 um 11:02:26 Uhr
Goto Top
habs am pdc ausgeführt

Er sagt :

DC-Name: ISA-Server
Diretory Partition: <ERROR: Server unreachable>
DaAlex
DaAlex 29.09.2006 um 11:30:01 Uhr
Goto Top
ich hab vor einiger zeit mal ne passwortänderung durchgeführt. Der ISA Server hat ein anderes PW als der PDC. Jetzt wollt ich das PW am ISA änder. Geht leider nicht da die Kennwortrichtlinien sehr scharf eingestellt sind. Jetzt wollt ich in die Sicherheitrichtlinien am ISA und da erscheint dann die meldung: Das Gruppenrichlinienobjekt konnte nicht geöffnet werden. Möglicherweise verfügen sie nicht über die erforderlichen Rechte. Anmeldung fehlgeschlagen: Der Zielkontoname ist ungültig.
Hab aber die Rechte als Admin. Habs auch schon mitm OAdmin probiert. Das gleiche
Tschieses
Tschieses 29.09.2006 um 11:46:32 Uhr
Goto Top
Mal ne blöde frage. Hast du die Replikation auf deinem Primärserver erlaubt/zugelassen?
DaAlex
DaAlex 29.09.2006 um 11:52:32 Uhr
Goto Top
ich denke schon mal. Wo könnt ich des einstellen oder wie überprüf ich das?
Tschieses
Tschieses 29.09.2006 um 12:10:25 Uhr
Goto Top
In den einstellung der enstprechenden serverdienste ist irgendwo ein häckchen "replikation zulassen" das muss gesetzt sein
wo genau, musse dich mal en bills durch die laschen klicken

machste ne mmc auf und fügst das entsprechende snap-in des gewünschten diensts hinzu. und rufst per rechtsklick die eigenschaften auf
DaAlex
DaAlex 29.09.2006 um 12:13:59 Uhr
Goto Top
ok. werd ich mal probieren. Hab grad festgestellt wenn ich am pdc versuche zu replizieren oder die replikationstopologie überprüfen lassen will kommt die meldung.
Der RPC-Server ist nicht verüfgbar.
Tschieses
Tschieses 29.09.2006 um 12:21:02 Uhr
Goto Top
Versuchst du von deinem 2. server die einstellungen zu ziehen oder schiebst du sie von deinem 1. server rüber?
DaAlex
DaAlex 29.09.2006 um 12:25:40 Uhr
Goto Top
ich will vom 1. server (pdc) die Einstellungen auf den 2. Server (ISA) schieben.
Tschieses
Tschieses 29.09.2006 um 12:43:37 Uhr
Goto Top
wie gesagt überprüfen ob die replikation erlaubt ist
und dann auf dem 2. DC das ganze als replik bzw. sekundäre zone etc. einrichten
DaAlex
DaAlex 29.09.2006 um 12:50:38 Uhr
Goto Top
ich finde nichts wo ich die replikation zulassen könnte. hab alle infragekommenden dienste durchgeschaut. würde es was bringen wenn ich am 2. dc die AD neu aufsetze? oder hab ich danach noch mehr chaos als jetzt?
Inwiefern ist der RPC-Server interessant und wie könnte ich den konfigurieren?

MFG
DaSam
DaSam 29.09.2006 um 13:30:09 Uhr
Goto Top
Hi,

sorry, das ist doch alles gülle, das hier rüberkommt:

- der eine spricht von PDC und BDC in einem AD-Umfeld. Jungs, sowas gibt es nicht. Alles DC's sind (nahezu) gleichberechtigt - das einzige, was die DC's unterscheidet, sind die sog. Betriebsmaster (FSMO-Rollen).
- Auf dem zweiten Domaincontroller ist das Passwort anders als auf dem ersten? Was ist das denn? Die Benutzerdatenbank ist im AD gespeichert und sollte (nicht wie in Deinem Fall) auf allen DC's identisch sein - wenn eben die Replikation passt.
- eine Vetrauensstellung zwischen zwei Servern? Naja, wenn man so will, dann gibt es sowas ähnliches ... den Secure Channel, mit Hilfe dessen die beiden DC's kommunizieren.

Remote kann ich für dieses Problem keine Hilfe anbieten, hoffe aber, dass das keine wirklich produktive AD-Domäne betreibt mit solchen garstigem Halbwissen ...

- dcdiag habe ich laufen lassen: Was kam denn dabei raus?

cu,
Alex
DaAlex
DaAlex 29.09.2006 um 13:39:58 Uhr
Goto Top
hi. was bei der dcdiag rauskam kann ich nicht ganz interpretieren.
Kannst du mir erklären wie ich am besten die Replikation aufbaue.
Ich will eigentlich nur das der PDC mit dem ISA Synchron ist. Über den Betriebsmaster hab ich auch schon bisschen was gelesen.

mfg
DaAlex
DaAlex 29.09.2006 um 13:53:25 Uhr
Goto Top
wollte grad bei meinem 2. dc den Betriebsmaster ändern. Daraufhin kam die meldung das ich erst mal eine verbindung zum 1. dc herstellen muss. Das machte ich dann in der AD mit VERBINDUNG MIT DOMÄNENCONTROLLER HERSTELLEN. Wenn ich da dann meinen 1. dc angebe kommt die Meldung zugriff verweigert.
DaSam
DaSam 29.09.2006 um 15:43:37 Uhr
Goto Top
@DaAlex:

das verschieben von Betriebsmastern wird nicht funktionieren, da dein ganzes AD nicht geht. Was man machen kann, wäre einen DC zu zwingen, einen bestimmten Betriebsmaster zu haben - egal, was eventuell ein anderer DC dazu sagt - aber das ist nicht gut in Deiner Umgebung.

Was man probieren könnte wäre deinen zweiten, nicht funktionsfähigen AD Controller aus dem AD zu entfernen, notfalls mit Gewalt. Dies kann in mehreren Stufen geschehen:

Stufe 1: dcpromo ganz normal. Wenn das nicht geht, weiter mit Stufe 2
Stufe 2: dcpromo -forceremoval (ich glaube, der Parameter heisst so)
Stufe 3: mit ntdsutil alle Referenzen auf dem funktionsfähigen DC löschen, die auf den nicht funktionsfähigen DC zeigen (Stichwort: remove orphaned domain controller from active directory metabase)
Stufe 4: im DNS die Referenzen auf den alten nicht funktionsfähigen DC löschen.

Wenn das alles sauber gemacht ist, dann kannst mit dcpromo den alten Domaincontroller (der ja nur keiner mehr ist) wieder zum DC hochstufen. Vorher checken, ob die Namensauflösung mit Hostname, FQDN vom neuen DC aus für den alten DC funktioniert.

Wenn der DC sauber läuft, dann würde ich mal noch einen DNS raufmachen, die Zonen im alten DC sollten alle Active Diretory integriert sein, dann werden die Zonen automatisch repliziert. Anschliessend in den TCP/IP Einstellungen eines jeden Servers jeweils den anderen als primären DNS Server eintragen, als sekundären sich selbst.

An der Replikation muss man eigentlich gar nichts machen, die läuft von alleine recht sauber.

Frage vorab: Kam in den dcdiag Läufen Fehlermeldungen von Kerberos, Secure Channel oder etwas, dass SYSVOL nicht geshared sei?

cu,
Alex
DaAlex
DaAlex 29.09.2006 um 16:00:22 Uhr
Goto Top
Hi.
Da kam ne meldung;

There are warning or error events within the last 24 hours after the sysvol has been shared. Failing sysvol replication problems may cause group policey problems.

und

PDC Server failed test frsevent

pdc server failed test systemlog

mfg
DaSam
DaSam 29.09.2006 um 19:20:48 Uhr
Goto Top
Hi,

dann schau mal bitte nach, ob SYSVOL freigegeben ist (net view \\servername bzw. dir \\Servername\sysvol).

Die Fehler sind Einträge in den Ereignisprotokollen, die nach der Freigabe von Sysvolsind - Abhilfe würde ein Löschen der Ereignisprotokolle bringen, das aber natürlich eine Ursachenerforschung "etwas" erschwert.

cu,
Alex