Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Server 2008 R2 Domänenprobleme

Mitglied: geforce28

geforce28 (Level 2) - Jetzt verbinden

08.08.2017 um 15:12 Uhr, 1765 Aufrufe, 51 Kommentare

Hallo Leute,

ich hoffe hier sind vielleicht ein paar AD / Domänen Profis, die mir vielleicht helfen können.
Ich habe einen einzelnen Domaincontroller (domaene-dc04).
Alle anderen Domänencontroller (alt, da Server 2003) wurden entfernt.

Der Server "domaene-dc04" ist nun also der einzige DC für die Domäne: "Domaene".
Nun gibt DCDIAG bei KCCEvent folgende Fehler aus... :


Was kann ich tun ?
Irgendwelche Ansätze ?

DNS habe ich schon geprüft, dort steht überall nur noch der übrig gebliebene domaene-dc04 drin.
Auch unter AD-Standorte-und-Dienste ist nur noch der übrig gebliebene DC aufgelistet.


Ich hoffe, es kann mir jemand helfen
51 Antworten
Mitglied: GrueneSosseMitSpeck
08.08.2017 um 15:43 Uhr
Also Logeinträge von MS sind immer etwas kryptsich gehalten... du wirst doch wissen ob deine Domäne noch funktioniert oder nicht, sprich Benutzer hinzufügen, REchte verwalten, GPOs erstellen und auswerten... wenn dabei seltsame Phänomene auftreten dann ist die Datenbank defekt und bei kleineren Netzen lohnt es sich nicht ein kaputtes AD zu flicken, das breitet sich dann nur immer weiter aus, da muß man dann mal nen cut machen.
Bitte warten ..
Mitglied: emeriks
08.08.2017 um 15:45 Uhr
Hi,
wie wurden die alten DC's entfernt?
Der verbleibende DC ist auch Global Catalog? Er hat alle 5 FSMO Rollen?
E.
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 15:59 Uhr
Hallo Zusammen! ;)

@GrueneSosseMitSpeck:
Ja die Domäne funktioniert, soweit ich sehe, noch so wie sie sollte, jedoch möchte ich gerne, bevor ich einen weiteren DC hinzufüge, dass der dcdiag sauber ist... Ein Cut kommt nicht in Frage.

@emeriks:
Der eine DC wurde sauber mit DCPromo entfernt.
Der andere ließ sich nur noch mit dcpromo /force entfernen.

Der verbleibende DC hat alle FSMO Rollen, auch GC. ;)
Bitte warten ..
Mitglied: 133941
08.08.2017 um 16:03 Uhr
Hallo.

Das sind Fehler bezüglich der Replikation. Dein DC vermisst seine Kumpels. Vermute du hast die Betriebsmaster-Rollen nicht übertragen oder Die alten DC's sind noch irgendwo registriert. Es gibt eine Menge Stoff dazu im Netz. Google is our best friend :D
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 16:05 Uhr
Habe schon alles mögliche gegoogelt und gelesen.

Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?

Vielen Dank im Voraus.
Bitte warten ..
Mitglied: emeriks
08.08.2017 um 16:11 Uhr
Der andere ließ sich nur noch mit dcpromo /force entfernen.
Dies entfernt den DC nicht aus dem AD! Es enfernt nur die AD-Rolle vom Server.
Suche mal nach "NTDSUTIL" und "Metadata Cleanup".
Bitte warten ..
Mitglied: Dani
08.08.2017 um 16:12 Uhr
Moin!
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?
Stichwort: celan up metadata
https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
https://www.petri.com/delete_failed_dcs_from_ad
http://kpytko.pl/active-directory-domain-services/metadata-cleanup-for- ...
http://www.msserverpro.com/metadata-cleanup-using-ntdsutil-in-windows-s ...

Habe schon alles mögliche gegoogelt und gelesen.
Anscheinend das falsche bzw. es scheitert an der Umsetzung.


Gruß,
Dani
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 16:28 Uhr
metadata cleanup habe ich schon durch...
Bitte warten ..
Mitglied: emeriks
08.08.2017 um 16:35 Uhr
Versuche mal "dcdiag /fix". Vielleicht hilfts.
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 16:59 Uhr
Danke für den Tipp... ;)
Habe ich aber auch schon versucht...
Bitte warten ..
Mitglied: beidermachtvongreyscull
08.08.2017, aktualisiert um 17:58 Uhr
Bitte mal Netztopologie beschreiben:

Hast Du nur IPv6 im Einsatz oder fährst Du auch IPv4?
Dein Blech sucht sich anscheinend auf IPv6 und kriegt nüscht.

Im Zuge, dass Du Win2003 vorher mit benutzt hast, müsste es eigentlich IPv4 sein. Oder?

In welchem Modus befindet sich Deine Domäne derzeit 2008 gemischt?

Und bitte stell auch die Windowsereignislog-Einträge dazu zur Verfügung.
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 21:53 Uhr
IPv6 wird nicht genutzt.
IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.

Das Domänenschema ist nun auf 2008 R2.

--
Wie gesagt, ich habe nur noch einen Server 2008R2, der jetzt alleiniger DC ist und alle FSMO Rollen besitzt.
Dazu haben wir noch einen Exchange 2007 mit in der Umgebung & das war es schon.. !
Bitte warten ..
Mitglied: Dani
08.08.2017 um 22:04 Uhr
Moin,
IPv6 wird nicht genutzt. IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.
Gebot 1: Du sollst nicht Änderungen vornehmen, welche nicht Best Practice entsprechen. Bitte wieder rückgängig machen.


Gruß,
Dani
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 22:06 Uhr
Alles klar, auch kein Problem, dann lass ich IPv6 eben aktiviert, aber wie komme ich jetzt weiter in meinem Dilemma ?..
Bitte warten ..
Mitglied: Dani
08.08.2017 um 22:40 Uhr
Moin,
metadata cleanup habe ich schon durch...
die manuellen Nacharbeiten auch? Anschließend bietet es sich an den DC neu zustarten. Nochmals ein Artikel als Referenz zu deinem Vorgehen. Sicher ist sicher.

Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Schön und gut, aber kontrolliere es bitte nochmals.


Gruß,
Dani
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 08:28 Uhr
@Dani:
Ja habe ich inkl. Nacharbeiten gemacht.

Hier nochmal ein ausführliches DCDiag /e /v...
Die IP 10.1.1.10 ist übrigens die von unserem Exchange Server.

Bitte warten ..
Mitglied: Dani
09.08.2017 um 08:59 Uhr
Moin,
führe bitte auf dem DC noch ein netdiag /v aus und poste das Ergebnis hier.


Gruß,
Dani
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 09:13 Uhr
Netdiag kennt mein Server nicht, obwohl alle Support Tools installiert sind.

Lt. MS Technet:
Apparently netdiag is not supported in Windows Server 2008 or later, you can use Dcdiag instead.
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 09:21 Uhr
Mir machen die Zeilen 701-717 Kopfzerbrechen.

Wenn Du nur einen DC hast, wieso hat der dann immernoch anstehende Replikation invocations (wenn auch retired)?

Hattest Du, bevor Du den 2003er entfernt hast, die Replikation nochmal geprüft mit repadmin /showrepl?
War die in Ordnung?

Meine Sorge wäre, dass eventuell die Replikation irgendwann über den Jordan ging und der 2008er das nicht begriffen hat.
In Zusammenspiel mit 2003 ist "Islanding" nach wie vor ein Begriff. Auch was den Secure Channel angeht, der anscheinend broken ist.

Normalerweise würde man das so beheben:
Auf der betroffenen Maschine schaltet man den KDC-Dienst aus und bootet neu.
Dadurch wird diese gezwungen, sich mit dem KDC eines anderen DCs derselben Domäne auszutauschen.
Dann würde man das Maschinenkonto wieder zurücksetzen: netdom resetpwd /server: /userd:\ /passwordd:*
den KDC freigeben und den DC nochmal starten.

Da jetzt hier nur noch einer da ist, wird die Sache interessant.
Die Maschine muss sich an ihrem eigenen AD-Dienst anmelden. Das scheint auch zu funktionieren, sonst würde DCDiag das anzeigen.

Auf 2003 gab es ein gutes Tool namens Kerbtray.
https://social.technet.microsoft.com/wiki/contents/articles/2170.windows ...

Damit konnte man das Kerberosticket der Maschine löschen und eine Neuerstellung veranlassen.

Vielleicht hilft das ja.


Vergiss obiges...

Folgendes:
dcdiag /fix
netdiag /fix
repadmin /kcc

Da der KCC nicht sauber arbeitet, nehme ich ne kaputte Replikationstopologie an. Da sind wohl "Leichen im Keller" geblieben.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 09:34 Uhr
dcdiag /fix

repadmin /kcc
ausgeführt.

repadmin /kcc sagt: "Die Konsistenzprüfung auf localhost war erfolgreich".

Die errors im DCDIAG bleiben jedoch, bzw. es tauchen immer wieder neue KCCevents auf.
Hat also leider nichts geholfen...
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 09:43 Uhr
Mach mal bitte folgendes:

Lösche in eventlog alle logs nachdem Du sie gespeichert hast.

dcdiag ist manchmal auch ein Schlingel und schmeißt Fehler, weil noch welche (egal wie alt) im entsprechenden eventlog stehen.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 10:06 Uhr
@beidermachtvongreyscull:
Habe ich soeben gemacht.
Leider tauchen wieder kccevents auf, natürlich mit neuen Uhrzeiten...
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017 um 10:32 Uhr
Kannst Du mir bitte mal einen Screenshot des entsprechenden Ereignislogs schicken?
Mir geht es darum zu sehen, was vor während und nach den Fehlern passiert.

Das entsprechende Log müsste hier sein:

Anwendungs- und Dienstprotokolle --> Verzeichnisdienst.

NTDS KCC müsste hier Einträge liefern.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 10:45 Uhr
Na klaro Bittesehr...
Und erstmal danke für deine Hilfe und Mühe!

screen - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 11:55 Uhr
Zitat von geforce28:

Na klaro Bittesehr...
Und erstmal danke für deine Hilfe und Mühe!

Du brauchst nicht zu danken.
Ich helfe gerne.

Ein Kollege hat hier
https://social.technet.microsoft.com/Forums/windows/en-US/95e6c5ca-a8fe- ...
etwas interessantes erwähnt.

Er empfiehlt eine semantische Datenbankanalyse.
Aus dem Threadverlauf hat sich ergeben, dass Du einen DC mit /force aus der Domäne heraushebeln musstest.
In Bezug auf diesen Fall in Kombination mit dem Fehler des Eventlogs, halte ich es zurzeit für wahrscheinlich, dass da wirklich Rückstände übrig geblieben sind, an die die Tools so nicht herankommen.

Der Kollege empfiehlt diesen Link:
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx

Ich halte das für schlüssig, muss Dich aber warnen.
Wenn Du den ntds-Dienst herunterfährst, funktioniert Dein AD erstmal nicht mehr.
Ob dieser Beitrag in einer Domäne machbar ist, die nur einen Controller hat, ist fraglich, das gebe ich zu.

Ich wage mal vorsichtig die Behauptung, dass Deine Domäne zwar fehlerhaft läuft, aber sie läuft.
Die wichtigsten Dienste scheinen ja ihre Arbeit zu machen und wenn Du einen Exchange im Rennen hast und der sich bisher nicht beschwert hat (schau mal bitte in dessen Logs!), ist das ein recht gutes Zeichen.

Mach Dir bitte auch mal den Spass mit repadmin /showrepl
Lass mich wissen, was bei DSA-Optionen steht.


Ergänzung

Es gibt einen Hotfix für einen speziellen Fall, der aber auch Deine Fehlernummer betrifft:
https://support.microsoft.com/en-us/help/2413670/events-1659--1481--and- ...

Lt Beschreibung ist das auch möglich.
Ein 2008er verbleibt als letzter DC in der Domäne und spuckt dann Fehler aus.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 12:00 Uhr
Auf die "Semantic Database Analysis" bin ich auch gestern Abend noch gestoßen & hatte das ganze mal ausgeführt.
Leider hat dies meinen Fehler nicht behoben...

Also repadmin /showrepl gibt als DSA-Option "IS_GC" aus.
Was bedeutet das ?...

Das mit dem Hotfix werde ich gleich mal testen ;)
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 12:05 Uhr
Zitat von geforce28:
Also repadmin /showrepl gibt als DSA-Option "IS_GC" aus.
Was bedeutet das ?...

Das bedeutet, dass Dein AD soweit normal arbeitet und die Datenbank für den Betrieb in Ordnung ist.
Wäre das nicht der Fall, hättest Du hier andere Optionen drin stehen z.B. disable_inbound_repl disable_outbound_repl.
IS_GC bedeutet, dass der DC sich selbst als Globalen Katalog sieht und auch so propagiert. Das ist OK.

Es scheint wirklich nur noch im Bereich der Topologie ein Problem zu geben.
Vielleicht hilft der Patch ja.

Manchmal sieht die Software Probleme, wo keine sind.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 12:26 Uhr
Okay Hotfix kann ich leider nicht installieren..
"Die Software ist nicht für ihren Computer geeignet" ist die Meldung, die dann kommt...
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017 um 12:40 Uhr
Stimmt den die Voraussetzung?

Windows 2008 R2 SP1 x86/x64
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 12:45 Uhr
Ja.

Server 2008 R2 SP1 64Bit.

scren2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 13:55 Uhr
Ich habe vielleicht einen neuen Ansatzpunkt...

Habe gerade mal NTFRSUTL ds ausgeführt...
Ergebnis:

Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017 um 15:10 Uhr
Falls Du Dich über die letzte Zeile wunderst...

Das ist aus meiner Sicht normal.
Der File Replication Dienst hat ja nur was zu tun, wenn mehr als ein DC eingerichtet ist.
Dann werden dort sogenannte ReplicaSets angemeldet und bedient.

Bei nur einem DC ist dieser Dienst fast schon Makulatur.
Hättest Du ernsthafte Probleme am NTFRS würde dieser das Heraufstufen zum Domänencontroller nach einem Neustart nämlich verhindern.
Wenn er das nicht tut, ist das ein gutes Zeichen.

Müsste im Systemlog auch aufgeführt sein.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 15:22 Uhr
Hm konkret hatte mich folgende Zeile verwundert:
Aber gut, wenn du sagst das ist normal okay..

Jetzt ist aber die Frage, wie geht es weiter ??
Scheinbar greifen ja irgendwelche Dienste auf Objekte im AD zu, die es nicht gibt.
(NO_OBJECT).

Kann ich denn irgendwie herausfinden, um welche Objekte es sich da genau handelt und ggf. so zu einer Lösung zu kommen... ?
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 15:45 Uhr
Schau mal hier:
https://blogs.technet.microsoft.com/askds/2008/10/31/troubleshooting-kcc ...

Ich nehme immer noch an, dass da irgendwas schiefgelaufen ist.
Seien es
  • Rückstände im AD
  • Rückstände im DNS

Es scheint ihm aus irgendeinem Grund nicht klar zu sein, dass er der einzige DC ist.

DCDIAG meldet, er ist ein DC und er ist ok (Soweit)

So auch:
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ....



NACHTRAG

https://blogs.technet.microsoft.com/markmoro/2011/08/05/you-are-not-smar ...

Schau mal vorsichtig mit ADSI-Edit in die Configurations-Partition vom AD. (ist hier im Text mittig erwähnt).
Sind da noch Reste eines Replikationspartners von Deinem jetzigen DC zu sehen?

NACHTRAG 2

https://www.safaribooksonline.com/library/view/active-directory-cookbook ...
MIt Verweis auf obigen Link:
Schau mal unter AD Sites and Services.
Hast Du neben Deiner eigentlichen Site noch eine definiert?
Bitte warten ..
Mitglied: geforce28
09.08.2017, aktualisiert um 15:51 Uhr
Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..


EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 17:06 Uhr
Zitat von geforce28:

Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..

Glaub mir, mir gehen auch die Ideen aus. Was mich einfach wundert ist, dass der Schlingel den Patch nicht fressen wollte.
Entweder ist der in einem Patch oder Rollup aufgegangen, was ich mir aber nicht vorstellen kann, oder es liegt etwas anderes vor.



EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?

Nein. Lass ihn, wie er ist.

Probiere mal folgendes:

repadmin /options <DC NAME> -DISABLE_OUTBOUND_REPL
repadmin /options <DC NAME> -DISABLE_INBOUND_REPL

Dies schaltet die Replication Deines DCs aus.
Du siehst es, wenn Du einfach dann repadmin /showreps eingibst in den DSA-Optionen.

Wenn Du dann in die Eventlog schaust, sollten ein paar neue KCC Warnings 1113,1115 auftauchen.
Mich würde interessieren, ob der KCC-Fehler 1481 dann verschwindet.

NACHTRAG

Schau mal bitte noch nach, ob
HKLM\System\CurrentControlSet\Services\NTDS\Parameters
einen Parameter namens "DSA Not Writable" (REG_DWORD) drin hat.

NACHTRAG 2

Unter AD Sites and Services...
Wer ist der Generator für standort übergreifende Topologie?
Bitte warten ..
Mitglied: geforce28
09.08.2017, aktualisiert um 21:50 Uhr
Zum Parameter: "DSA Not Writable":
JA hat er drin, ist auf 4 gesetzt.

Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??

EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...


Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:

Leider besteht das Problem weiterhin...
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017 um 07:30 Uhr
Zitat von geforce28:

Zum Parameter: "DSA Not Writable":
JA hat er drin, ist auf 4 gesetzt.

Das ist schlecht!


Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??

Active Directory Sites and Services --> Rechtsklick auf die NTDS Settings der Site.


EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...

Hoffentlich hast Du NICHT alles durchgeführt.
Denn da sind Überlegungen notwendig, warum Dein letzter verbliebener DC seine AD-Datenbank schreibgeschützt hat!



Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:


Das ist ok. Er hat nichts zum replizieren und setzt deswegen diese Optionen auch nicht.

Leider besteht das Problem weiterhin...

Nach einem Neustart kann das normal sein. Wichtig ist, jetzt alle eventlogs im Auge zu behalten und schauen, welche Fehler noch hinein gespült werden.

Wenn nach wie vor alles läuft und "DSA not writeable" nicht mehr mit dem Wert 0x4 (besser eigentlich wenn gar nicht mehr) in der Registry auftaucht, dann ist das schon mal ein ganz gutes Zeichen.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 08:13 Uhr
Wie gesagt, das was unter: "Single-DC Procedure" steht, habe ich alles durchgeführt.
Aber scheint noch alles so zu ticken wie es soll. Exchange läuft jedenfalls reibungslos nach der Aktion.

Die Fehler im Eventlog erscheinen aber immer noch.

DSA not writable ist bisher nicht mehr in der Registry aufgetaucht



Der domaene-dc04 ist auch der Generator der Site, habe ich eben nachgeschaut.
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017 um 09:30 Uhr
Mach bitte nochmal einen Metadata Clean mit ntdsutil und dann einen Semantikcheck
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 09:35 Uhr
Hatte ich gestern schon gemacht, aber jetzt nochmal.
Keine Verbesserung & scheinbar auch keine Fehler.

ntds - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017, aktualisiert um 09:49 Uhr
Halt die Sache mal einfach im Auge.

Vielleicht wächst sich der Fehler auch jetzt aus und verschwindet, wo "DSA not writeable" raus ist.

Noch etwas:
Lass mich mal wissen, in welchen Abständen dieser Fehler auftaucht und ob zeitgleich noch im Systemlog einer erscheint.

Ich muss gestehen, ich weiß zur Zeit auch nicht weiter.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 10:25 Uhr
Hm, ja so richtig wohl ist mir nicht bei dem Gedanken....

Ja der Fehler taucht alle 5 Minuten im Eventlog auf.
Im Systemlog ist nichts zeitgleiches.
Bitte warten ..
Mitglied: Vancouverona
10.08.2017 um 12:17 Uhr
Ich habe das hier "https://community.spiceworks.com/topic/215890-domain-totally-screwed-i-n ..." gefunden. Die Situation und das Fehlerbild sind sehr ähnlich zu Deinem.

Ansonsten hilft im Regelfall:
dcdiag /fix
netdiag /fix
repadmin /kcc
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 12:28 Uhr
Mh, ja aber das haben wir ja alles schon erfolglos durch...
Bitte warten ..
Mitglied: beidermachtvongreyscull
LÖSUNG 10.08.2017, aktualisiert um 13:11 Uhr
Schau mal bitte nach folgendem:
https://support.microsoft.com/de-de/help/314980/how-to-configure-active- ...

Ich habe den Verdacht, dass da jemand das Debug-Logging angesschaltet hat.

Es gibt Fehler und Warnungen und Informationen, die auf sog. internal Events im AD zurückgehen und nicht immer relevant sind.

Diese sind standardmäßig ausgeblendet oder werden gar nicht geloggt.

Ich bin nämlich fast der Meinung, dass Du den Fehler ignorieren kannst, wenn zutrifft, was ich vermute.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 13:32 Uhr
Bingo !!
Alles auf 0 gesetzt (ist ja Standard oder ?)
Und jetzt tauchen überhaupt keine Events mehr unter "Verzeichnisdienst" auf...
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017 um 13:46 Uhr
Stand auf 5, richtig?

0 ist laut dem KB-Artikel Standard.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 13:54 Uhr
Jep waren sogar mehrere Sachen auf 5 ;)
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017 um 14:03 Uhr
OK.

Dann weiterhin alles Gute!

Bis denn.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 14:16 Uhr
Ich danke dir vielmals für deine Hilfe und Geduld !
Bitte warten ..
Ähnliche Inhalte
Windows Update

WSUS Event IDs 2008, 2008 R2, 2012 und 2012 R2

gelöst Frage von agentjoe1988Windows Update5 Kommentare

Hallo liebe Administrator.de-Gemeinschaft, um ein Monitoring für WSUS zu erstellen und analog zu SCCM zu überwachen, muss ich irgendwie ...

Windows Systemdateien

Server 2008 R2 Konfiguration

Frage von KellogsFRWindows Systemdateien3 Kommentare

Hallo zusammen, ich steh hier vor einer etwas seltsamen Konfiguration eines Servers und ich hoffe, dass jemand eine Ahnung ...

Windows Server

Windows 2008 R2 Upgrade

gelöst Frage von VerwirrterUserWindows Server8 Kommentare

Hallo zusammen, folgende Situation: Windows Server 2008 R2 Aktuelles Build mit allen Updates - Upgrade auf 2012 R2 hat ...

Windows Server

Domaincontroller 2008 R2 durch 2012 R2 ersetzen

Frage von Nico76Windows Server4 Kommentare

Wir möchte einen Domänencontroller ersetzen. Die vorhandenen DC sind 2008 R2. Ein DC "der älteste" soll ersetze werden durch ...

Neue Wissensbeiträge
E-Books

Ausgewählte Rheinwerk-Bücher jetzt online lesen! Kostenfrei

Information von Maxima2005 vor 1 TagE-Books1 Kommentar

Vielleicht hat ja jemand Interesse sein Wissen zu erweitern. Ausgewählte Rheinwerk-Bücher jetzt online lesen! Grüße Max

Instant Messaging
Jitsi Meet - April Update verfügbar
Information von Frank vor 1 TagInstant Messaging5 Kommentare

Im Rahmen des April-Updates erhält Jitsi Meet mehrere interessante Features. Anwender können nun nicht mehr nur ihren Bildschirm, sondern ...

Rechtliche Fragen

Rechtliche Grundlagen: Datenschutz und Datensicherheit im Homeoffice

Information von AnkhMorpork vor 2 TagenRechtliche Fragen

Sollte bekannt sein, aber

Router & Routing
"Upgrade" Fritte 7520 zu Fritte 7530 :-)
Information von Lochkartenstanzer vor 2 TagenRouter & Routing6 Kommentare

Moin, wie sich herausgestellt hat, ist die 7520 eine per Software kastrierte Version der 7530. Per "Chiptuning", um es ...

Heiß diskutierte Inhalte
Server-Hardware
Wie viel Speicher braucht eine Wissensdatenbank für bis zu 50 User?
Frage von Mrhallo19981Server-Hardware39 Kommentare

Hallo, könnt ihr mir sagen wieviel Speicherplatz eine Wissensdatenbank braucht (die physikalisch speichert, also nicht mit einer Datenbank zusammen) ...

Festplatten, SSD, Raid
Festplatten Datenvernichtung Server
Frage von survial555Festplatten, SSD, Raid30 Kommentare

Hallo, ich habe noch ein paar alte Server, wo ich die verbauten Festplatten gerne datentechnisch "sicher" löschen möchte. Leider ...

Linux
Internetprobleme mit Wine für Linux um .exe Dateien auszuführen
Frage von WinLiCLILinux22 Kommentare

Hallo zusammen, ich möchte auf meinem debian 10 einen client für cloud-telefonie (cloud pbx) installieren, den es nur für ...

Server-Hardware
Dimensionierung Server-Hardware
Frage von MurpelServer-Hardware17 Kommentare

Moin Moin, ich möchte einen Server besorgen und aufsetzen. Auf dem Server soll Branchensoftware laufen, auf die 4-6 Nutzer ...