Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Server 2008 R2 Domänenprobleme

Mitglied: geforce28

geforce28 (Level 2) - Jetzt verbinden

08.08.2017 um 15:12 Uhr, 2269 Aufrufe, 51 Kommentare

Hallo Leute,

ich hoffe hier sind vielleicht ein paar AD / Domänen Profis, die mir vielleicht helfen können.
Ich habe einen einzelnen Domaincontroller (domaene-dc04).
Alle anderen Domänencontroller (alt, da Server 2003) wurden entfernt.

Der Server "domaene-dc04" ist nun also der einzige DC für die Domäne: "Domaene".
Nun gibt DCDIAG bei KCCEvent folgende Fehler aus... :


Was kann ich tun ?
Irgendwelche Ansätze ?

DNS habe ich schon geprüft, dort steht überall nur noch der übrig gebliebene domaene-dc04 drin.
Auch unter AD-Standorte-und-Dienste ist nur noch der übrig gebliebene DC aufgelistet.


Ich hoffe, es kann mir jemand helfen
51 Antworten
Mitglied: GrueneSosseMitSpeck
08.08.2017 um 15:43 Uhr
Also Logeinträge von MS sind immer etwas kryptsich gehalten... du wirst doch wissen ob deine Domäne noch funktioniert oder nicht, sprich Benutzer hinzufügen, REchte verwalten, GPOs erstellen und auswerten... wenn dabei seltsame Phänomene auftreten dann ist die Datenbank defekt und bei kleineren Netzen lohnt es sich nicht ein kaputtes AD zu flicken, das breitet sich dann nur immer weiter aus, da muß man dann mal nen cut machen.
Bitte warten ..
Mitglied: emeriks
08.08.2017 um 15:45 Uhr
Hi,
wie wurden die alten DC's entfernt?
Der verbleibende DC ist auch Global Catalog? Er hat alle 5 FSMO Rollen?
E.
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 15:59 Uhr
Hallo Zusammen! ;)

@GrueneSosseMitSpeck:
Ja die Domäne funktioniert, soweit ich sehe, noch so wie sie sollte, jedoch möchte ich gerne, bevor ich einen weiteren DC hinzufüge, dass der dcdiag sauber ist... Ein Cut kommt nicht in Frage.

@emeriks:
Der eine DC wurde sauber mit DCPromo entfernt.
Der andere ließ sich nur noch mit dcpromo /force entfernen.

Der verbleibende DC hat alle FSMO Rollen, auch GC. ;)
Bitte warten ..
Mitglied: 133941
08.08.2017 um 16:03 Uhr
Hallo.

Das sind Fehler bezüglich der Replikation. Dein DC vermisst seine Kumpels. Vermute du hast die Betriebsmaster-Rollen nicht übertragen oder Die alten DC's sind noch irgendwo registriert. Es gibt eine Menge Stoff dazu im Netz. Google is our best friend :D
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 16:05 Uhr
Habe schon alles mögliche gegoogelt und gelesen.

Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?

Vielen Dank im Voraus.
Bitte warten ..
Mitglied: emeriks
08.08.2017 um 16:11 Uhr
Der andere ließ sich nur noch mit dcpromo /force entfernen.
Dies entfernt den DC nicht aus dem AD! Es enfernt nur die AD-Rolle vom Server.
Suche mal nach "NTDSUTIL" und "Metadata Cleanup".
Bitte warten ..
Mitglied: Dani
08.08.2017 um 16:12 Uhr
Moin!
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?
Stichwort: celan up metadata
https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
https://www.petri.com/delete_failed_dcs_from_ad
http://kpytko.pl/active-directory-domain-services/metadata-cleanup-for- ...
http://www.msserverpro.com/metadata-cleanup-using-ntdsutil-in-windows-s ...

Habe schon alles mögliche gegoogelt und gelesen.
Anscheinend das falsche bzw. es scheitert an der Umsetzung.


Gruß,
Dani
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 16:28 Uhr
metadata cleanup habe ich schon durch...
Bitte warten ..
Mitglied: emeriks
08.08.2017 um 16:35 Uhr
Versuche mal "dcdiag /fix". Vielleicht hilfts.
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 16:59 Uhr
Danke für den Tipp... ;)
Habe ich aber auch schon versucht...
Bitte warten ..
Mitglied: beidermachtvongreyscull
08.08.2017, aktualisiert um 17:58 Uhr
Bitte mal Netztopologie beschreiben:

Hast Du nur IPv6 im Einsatz oder fährst Du auch IPv4?
Dein Blech sucht sich anscheinend auf IPv6 und kriegt nüscht.

Im Zuge, dass Du Win2003 vorher mit benutzt hast, müsste es eigentlich IPv4 sein. Oder?

In welchem Modus befindet sich Deine Domäne derzeit 2008 gemischt?

Und bitte stell auch die Windowsereignislog-Einträge dazu zur Verfügung.
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 21:53 Uhr
IPv6 wird nicht genutzt.
IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.

Das Domänenschema ist nun auf 2008 R2.

--
Wie gesagt, ich habe nur noch einen Server 2008R2, der jetzt alleiniger DC ist und alle FSMO Rollen besitzt.
Dazu haben wir noch einen Exchange 2007 mit in der Umgebung & das war es schon.. !
Bitte warten ..
Mitglied: Dani
08.08.2017 um 22:04 Uhr
Moin,
IPv6 wird nicht genutzt. IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.
Gebot 1: Du sollst nicht Änderungen vornehmen, welche nicht Best Practice entsprechen. Bitte wieder rückgängig machen.


Gruß,
Dani
Bitte warten ..
Mitglied: geforce28
08.08.2017 um 22:06 Uhr
Alles klar, auch kein Problem, dann lass ich IPv6 eben aktiviert, aber wie komme ich jetzt weiter in meinem Dilemma ?..
Bitte warten ..
Mitglied: Dani
08.08.2017 um 22:40 Uhr
Moin,
metadata cleanup habe ich schon durch...
die manuellen Nacharbeiten auch? Anschließend bietet es sich an den DC neu zustarten. Nochmals ein Artikel als Referenz zu deinem Vorgehen. Sicher ist sicher.

Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Schön und gut, aber kontrolliere es bitte nochmals.


Gruß,
Dani
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 08:28 Uhr
@Dani:
Ja habe ich inkl. Nacharbeiten gemacht.

Hier nochmal ein ausführliches DCDiag /e /v...
Die IP 10.1.1.10 ist übrigens die von unserem Exchange Server.

Bitte warten ..
Mitglied: Dani
09.08.2017 um 08:59 Uhr
Moin,
führe bitte auf dem DC noch ein netdiag /v aus und poste das Ergebnis hier.


Gruß,
Dani
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 09:13 Uhr
Netdiag kennt mein Server nicht, obwohl alle Support Tools installiert sind.

Lt. MS Technet:
Apparently netdiag is not supported in Windows Server 2008 or later, you can use Dcdiag instead.
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 09:21 Uhr
Mir machen die Zeilen 701-717 Kopfzerbrechen.

Wenn Du nur einen DC hast, wieso hat der dann immernoch anstehende Replikation invocations (wenn auch retired)?

Hattest Du, bevor Du den 2003er entfernt hast, die Replikation nochmal geprüft mit repadmin /showrepl?
War die in Ordnung?

Meine Sorge wäre, dass eventuell die Replikation irgendwann über den Jordan ging und der 2008er das nicht begriffen hat.
In Zusammenspiel mit 2003 ist "Islanding" nach wie vor ein Begriff. Auch was den Secure Channel angeht, der anscheinend broken ist.

Normalerweise würde man das so beheben:
Auf der betroffenen Maschine schaltet man den KDC-Dienst aus und bootet neu.
Dadurch wird diese gezwungen, sich mit dem KDC eines anderen DCs derselben Domäne auszutauschen.
Dann würde man das Maschinenkonto wieder zurücksetzen: netdom resetpwd /server: /userd:\ /passwordd:*
den KDC freigeben und den DC nochmal starten.

Da jetzt hier nur noch einer da ist, wird die Sache interessant.
Die Maschine muss sich an ihrem eigenen AD-Dienst anmelden. Das scheint auch zu funktionieren, sonst würde DCDiag das anzeigen.

Auf 2003 gab es ein gutes Tool namens Kerbtray.
https://social.technet.microsoft.com/wiki/contents/articles/2170.windows ...

Damit konnte man das Kerberosticket der Maschine löschen und eine Neuerstellung veranlassen.

Vielleicht hilft das ja.


Vergiss obiges...

Folgendes:
dcdiag /fix
netdiag /fix
repadmin /kcc

Da der KCC nicht sauber arbeitet, nehme ich ne kaputte Replikationstopologie an. Da sind wohl "Leichen im Keller" geblieben.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 09:34 Uhr
dcdiag /fix

repadmin /kcc
ausgeführt.

repadmin /kcc sagt: "Die Konsistenzprüfung auf localhost war erfolgreich".

Die errors im DCDIAG bleiben jedoch, bzw. es tauchen immer wieder neue KCCevents auf.
Hat also leider nichts geholfen...
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 09:43 Uhr
Mach mal bitte folgendes:

Lösche in eventlog alle logs nachdem Du sie gespeichert hast.

dcdiag ist manchmal auch ein Schlingel und schmeißt Fehler, weil noch welche (egal wie alt) im entsprechenden eventlog stehen.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 10:06 Uhr
@beidermachtvongreyscull:
Habe ich soeben gemacht.
Leider tauchen wieder kccevents auf, natürlich mit neuen Uhrzeiten...
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017 um 10:32 Uhr
Kannst Du mir bitte mal einen Screenshot des entsprechenden Ereignislogs schicken?
Mir geht es darum zu sehen, was vor während und nach den Fehlern passiert.

Das entsprechende Log müsste hier sein:

Anwendungs- und Dienstprotokolle --> Verzeichnisdienst.

NTDS KCC müsste hier Einträge liefern.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 10:45 Uhr
Na klaro Bittesehr...
Und erstmal danke für deine Hilfe und Mühe!

screen - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 11:55 Uhr
Zitat von geforce28:

Na klaro Bittesehr...
Und erstmal danke für deine Hilfe und Mühe!

Du brauchst nicht zu danken.
Ich helfe gerne.

Ein Kollege hat hier
https://social.technet.microsoft.com/Forums/windows/en-US/95e6c5ca-a8fe- ...
etwas interessantes erwähnt.

Er empfiehlt eine semantische Datenbankanalyse.
Aus dem Threadverlauf hat sich ergeben, dass Du einen DC mit /force aus der Domäne heraushebeln musstest.
In Bezug auf diesen Fall in Kombination mit dem Fehler des Eventlogs, halte ich es zurzeit für wahrscheinlich, dass da wirklich Rückstände übrig geblieben sind, an die die Tools so nicht herankommen.

Der Kollege empfiehlt diesen Link:
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx

Ich halte das für schlüssig, muss Dich aber warnen.
Wenn Du den ntds-Dienst herunterfährst, funktioniert Dein AD erstmal nicht mehr.
Ob dieser Beitrag in einer Domäne machbar ist, die nur einen Controller hat, ist fraglich, das gebe ich zu.

Ich wage mal vorsichtig die Behauptung, dass Deine Domäne zwar fehlerhaft läuft, aber sie läuft.
Die wichtigsten Dienste scheinen ja ihre Arbeit zu machen und wenn Du einen Exchange im Rennen hast und der sich bisher nicht beschwert hat (schau mal bitte in dessen Logs!), ist das ein recht gutes Zeichen.

Mach Dir bitte auch mal den Spass mit repadmin /showrepl
Lass mich wissen, was bei DSA-Optionen steht.


Ergänzung

Es gibt einen Hotfix für einen speziellen Fall, der aber auch Deine Fehlernummer betrifft:
https://support.microsoft.com/en-us/help/2413670/events-1659--1481--and- ...

Lt Beschreibung ist das auch möglich.
Ein 2008er verbleibt als letzter DC in der Domäne und spuckt dann Fehler aus.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 12:00 Uhr
Auf die "Semantic Database Analysis" bin ich auch gestern Abend noch gestoßen & hatte das ganze mal ausgeführt.
Leider hat dies meinen Fehler nicht behoben...

Also repadmin /showrepl gibt als DSA-Option "IS_GC" aus.
Was bedeutet das ?...

Das mit dem Hotfix werde ich gleich mal testen ;)
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 12:05 Uhr
Zitat von geforce28:
Also repadmin /showrepl gibt als DSA-Option "IS_GC" aus.
Was bedeutet das ?...

Das bedeutet, dass Dein AD soweit normal arbeitet und die Datenbank für den Betrieb in Ordnung ist.
Wäre das nicht der Fall, hättest Du hier andere Optionen drin stehen z.B. disable_inbound_repl disable_outbound_repl.
IS_GC bedeutet, dass der DC sich selbst als Globalen Katalog sieht und auch so propagiert. Das ist OK.

Es scheint wirklich nur noch im Bereich der Topologie ein Problem zu geben.
Vielleicht hilft der Patch ja.

Manchmal sieht die Software Probleme, wo keine sind.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 12:26 Uhr
Okay Hotfix kann ich leider nicht installieren..
"Die Software ist nicht für ihren Computer geeignet" ist die Meldung, die dann kommt...
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017 um 12:40 Uhr
Stimmt den die Voraussetzung?

Windows 2008 R2 SP1 x86/x64
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 12:45 Uhr
Ja.

Server 2008 R2 SP1 64Bit.

scren2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 13:55 Uhr
Ich habe vielleicht einen neuen Ansatzpunkt...

Habe gerade mal NTFRSUTL ds ausgeführt...
Ergebnis:

Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017 um 15:10 Uhr
Falls Du Dich über die letzte Zeile wunderst...

Das ist aus meiner Sicht normal.
Der File Replication Dienst hat ja nur was zu tun, wenn mehr als ein DC eingerichtet ist.
Dann werden dort sogenannte ReplicaSets angemeldet und bedient.

Bei nur einem DC ist dieser Dienst fast schon Makulatur.
Hättest Du ernsthafte Probleme am NTFRS würde dieser das Heraufstufen zum Domänencontroller nach einem Neustart nämlich verhindern.
Wenn er das nicht tut, ist das ein gutes Zeichen.

Müsste im Systemlog auch aufgeführt sein.
Bitte warten ..
Mitglied: geforce28
09.08.2017 um 15:22 Uhr
Hm konkret hatte mich folgende Zeile verwundert:
Aber gut, wenn du sagst das ist normal okay..

Jetzt ist aber die Frage, wie geht es weiter ??
Scheinbar greifen ja irgendwelche Dienste auf Objekte im AD zu, die es nicht gibt.
(NO_OBJECT).

Kann ich denn irgendwie herausfinden, um welche Objekte es sich da genau handelt und ggf. so zu einer Lösung zu kommen... ?
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 15:45 Uhr
Schau mal hier:
https://blogs.technet.microsoft.com/askds/2008/10/31/troubleshooting-kcc ...

Ich nehme immer noch an, dass da irgendwas schiefgelaufen ist.
Seien es
  • Rückstände im AD
  • Rückstände im DNS

Es scheint ihm aus irgendeinem Grund nicht klar zu sein, dass er der einzige DC ist.

DCDIAG meldet, er ist ein DC und er ist ok (Soweit)

So auch:
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ....



NACHTRAG

https://blogs.technet.microsoft.com/markmoro/2011/08/05/you-are-not-smar ...

Schau mal vorsichtig mit ADSI-Edit in die Configurations-Partition vom AD. (ist hier im Text mittig erwähnt).
Sind da noch Reste eines Replikationspartners von Deinem jetzigen DC zu sehen?

NACHTRAG 2

https://www.safaribooksonline.com/library/view/active-directory-cookbook ...
MIt Verweis auf obigen Link:
Schau mal unter AD Sites and Services.
Hast Du neben Deiner eigentlichen Site noch eine definiert?
Bitte warten ..
Mitglied: geforce28
09.08.2017, aktualisiert um 15:51 Uhr
Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..


EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?
Bitte warten ..
Mitglied: beidermachtvongreyscull
09.08.2017, aktualisiert um 17:06 Uhr
Zitat von geforce28:

Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..

Glaub mir, mir gehen auch die Ideen aus. Was mich einfach wundert ist, dass der Schlingel den Patch nicht fressen wollte.
Entweder ist der in einem Patch oder Rollup aufgegangen, was ich mir aber nicht vorstellen kann, oder es liegt etwas anderes vor.



EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?

Nein. Lass ihn, wie er ist.

Probiere mal folgendes:

repadmin /options <DC NAME> -DISABLE_OUTBOUND_REPL
repadmin /options <DC NAME> -DISABLE_INBOUND_REPL

Dies schaltet die Replication Deines DCs aus.
Du siehst es, wenn Du einfach dann repadmin /showreps eingibst in den DSA-Optionen.

Wenn Du dann in die Eventlog schaust, sollten ein paar neue KCC Warnings 1113,1115 auftauchen.
Mich würde interessieren, ob der KCC-Fehler 1481 dann verschwindet.

NACHTRAG

Schau mal bitte noch nach, ob
HKLM\System\CurrentControlSet\Services\NTDS\Parameters
einen Parameter namens "DSA Not Writable" (REG_DWORD) drin hat.

NACHTRAG 2

Unter AD Sites and Services...
Wer ist der Generator für standort übergreifende Topologie?
Bitte warten ..
Mitglied: geforce28
09.08.2017, aktualisiert um 21:50 Uhr
Zum Parameter: "DSA Not Writable":
JA hat er drin, ist auf 4 gesetzt.

Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??

EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...


Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:

Leider besteht das Problem weiterhin...
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017 um 07:30 Uhr
Zitat von geforce28:

Zum Parameter: "DSA Not Writable":
JA hat er drin, ist auf 4 gesetzt.

Das ist schlecht!


Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??

Active Directory Sites and Services --> Rechtsklick auf die NTDS Settings der Site.


EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...

Hoffentlich hast Du NICHT alles durchgeführt.
Denn da sind Überlegungen notwendig, warum Dein letzter verbliebener DC seine AD-Datenbank schreibgeschützt hat!



Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:


Das ist ok. Er hat nichts zum replizieren und setzt deswegen diese Optionen auch nicht.

Leider besteht das Problem weiterhin...

Nach einem Neustart kann das normal sein. Wichtig ist, jetzt alle eventlogs im Auge zu behalten und schauen, welche Fehler noch hinein gespült werden.

Wenn nach wie vor alles läuft und "DSA not writeable" nicht mehr mit dem Wert 0x4 (besser eigentlich wenn gar nicht mehr) in der Registry auftaucht, dann ist das schon mal ein ganz gutes Zeichen.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 08:13 Uhr
Wie gesagt, das was unter: "Single-DC Procedure" steht, habe ich alles durchgeführt.
Aber scheint noch alles so zu ticken wie es soll. Exchange läuft jedenfalls reibungslos nach der Aktion.

Die Fehler im Eventlog erscheinen aber immer noch.

DSA not writable ist bisher nicht mehr in der Registry aufgetaucht



Der domaene-dc04 ist auch der Generator der Site, habe ich eben nachgeschaut.
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017 um 09:30 Uhr
Mach bitte nochmal einen Metadata Clean mit ntdsutil und dann einen Semantikcheck
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 09:35 Uhr
Hatte ich gestern schon gemacht, aber jetzt nochmal.
Keine Verbesserung & scheinbar auch keine Fehler.

ntds - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017, aktualisiert um 09:49 Uhr
Halt die Sache mal einfach im Auge.

Vielleicht wächst sich der Fehler auch jetzt aus und verschwindet, wo "DSA not writeable" raus ist.

Noch etwas:
Lass mich mal wissen, in welchen Abständen dieser Fehler auftaucht und ob zeitgleich noch im Systemlog einer erscheint.

Ich muss gestehen, ich weiß zur Zeit auch nicht weiter.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 10:25 Uhr
Hm, ja so richtig wohl ist mir nicht bei dem Gedanken....

Ja der Fehler taucht alle 5 Minuten im Eventlog auf.
Im Systemlog ist nichts zeitgleiches.
Bitte warten ..
Mitglied: Vancouverona
10.08.2017 um 12:17 Uhr
Ich habe das hier "https://community.spiceworks.com/topic/215890-domain-totally-screwed-i-n ..." gefunden. Die Situation und das Fehlerbild sind sehr ähnlich zu Deinem.

Ansonsten hilft im Regelfall:
dcdiag /fix
netdiag /fix
repadmin /kcc
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 12:28 Uhr
Mh, ja aber das haben wir ja alles schon erfolglos durch...
Bitte warten ..
Mitglied: beidermachtvongreyscull
LÖSUNG 10.08.2017, aktualisiert um 13:11 Uhr
Schau mal bitte nach folgendem:
https://support.microsoft.com/de-de/help/314980/how-to-configure-active- ...

Ich habe den Verdacht, dass da jemand das Debug-Logging angesschaltet hat.

Es gibt Fehler und Warnungen und Informationen, die auf sog. internal Events im AD zurückgehen und nicht immer relevant sind.

Diese sind standardmäßig ausgeblendet oder werden gar nicht geloggt.

Ich bin nämlich fast der Meinung, dass Du den Fehler ignorieren kannst, wenn zutrifft, was ich vermute.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 13:32 Uhr
Bingo !!
Alles auf 0 gesetzt (ist ja Standard oder ?)
Und jetzt tauchen überhaupt keine Events mehr unter "Verzeichnisdienst" auf...
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017 um 13:46 Uhr
Stand auf 5, richtig?

0 ist laut dem KB-Artikel Standard.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 13:54 Uhr
Jep waren sogar mehrere Sachen auf 5 ;)
Bitte warten ..
Mitglied: beidermachtvongreyscull
10.08.2017 um 14:03 Uhr
OK.

Dann weiterhin alles Gute!

Bis denn.
Bitte warten ..
Mitglied: geforce28
10.08.2017 um 14:16 Uhr
Ich danke dir vielmals für deine Hilfe und Geduld !
Bitte warten ..
Ähnliche Inhalte
Windows Update

WSUS Event IDs 2008, 2008 R2, 2012 und 2012 R2

gelöst Frage von agentjoe1988Windows Update5 Kommentare

Hallo liebe Administrator.de-Gemeinschaft, um ein Monitoring für WSUS zu erstellen und analog zu SCCM zu überwachen, muss ich irgendwie ...

Windows Server

Windows 2008 R2 Upgrade

gelöst Frage von VerwirrterUserWindows Server8 Kommentare

Hallo zusammen, folgende Situation: Windows Server 2008 R2 Aktuelles Build mit allen Updates - Upgrade auf 2012 R2 hat ...

Windows Server

Problem: Migration SQL 2008 R2 EXPRESS auf SQL 2008 R2 STANDARD

gelöst Frage von D-LineWindows Server15 Kommentare

Guten Tag Miteinander und nachträglich allen noch ein frohes neues Jahr Gerne würde ich euch um Rat bitten bei ...

Windows Server

Domäne von 2008 R2 auf 2016 R2 migrieren

gelöst Frage von EmheonivekWindows Server3 Kommentare

Hallo, bald steht ein Upgrade der Domänen Infrastruktur bevor. Aktuell: Physikalische Maschine DC01 - Server 2008R2 Enterprise, FSMO Rollen ...

Neue Wissensbeiträge
Microsoft
SMB Compression: Deflate your IO
Ticker von Dani vor 3 TagenMicrosoft

Hi folks, Ned Pyle guest-posting today about SMB Compression, a long-awaited option coming to Windows, Windows Server, and Azure. ...

Virtualisierung

Citrix end of availability (EOA) of perpetual licenses for the on-prem Workspace products

Ticker von Dani vor 3 TagenVirtualisierung1 Kommentar

Moin, der nächste Marktführer steigt von Kaufen auf Mietzwang um :-( What did Citrix announce on July 1, 2020? ...

Festplatten, SSD, Raid
Stop Error 0x0000007B (INACCESSIBLE BOOT DEVICE)
Anleitung von evinben vor 3 TagenFestplatten, SSD, Raid

Systemstand Windows 7, 64-Bit, einschließlich allen Updates bis 10.09.2020 DELL Latitude E6330 PCI-Bus IRQ-Kanal 19: Standard AHCI 1.0 Serieller-ATA-Controller IRQ-Kanal ...

Sicherheit
NSA: UEFI und Secure Boot einsetzen
Ticker von sabines vor 4 TagenSicherheit4 Kommentare

Hilfreicher Heise Artikel zu UEFI und Secure Boot Tipps der NSA Näheres hier: NSA Bericht

Heiß diskutierte Inhalte
Backup
Gesicherter Backupserver gesucht
gelöst Frage von lcer00Backup16 Kommentare

Hallo zusammen, ich habe mir am Wochenende den interessanten Vortrag aus folgendem Beitrag angesehen: DerWoWusste Danke für den Link ...

Router & Routing
VPN Performance verbessern
Frage von JseidiRouter & Routing14 Kommentare

Hallo zusammen, Ich benötige einmal ein paar Tips von euch. Die Ausgangssitustion ist wie folgt: Standort 1: VDSL100 mit ...

Windows 10
Einige Webseiten lassen sich nicht mehr aufrufen
Frage von JobbiWindows 108 Kommentare

Hallo Zusammen, kurze Info zum Aufbau: 4 Server 2019, 6 PC´s; Server: 1x DC;DNS; 1x File, 1x TS, 1x ...

Sicherheit
Offener Port ohne Dienst IT-Sicherheit
gelöst Frage von decehakanSicherheit8 Kommentare

Hallo Zusammen, für die Zertifisierung von Webapplikation öffne ich in drei Monat Rythmus den Port 443/80 ,dabei läuft die ...

Administrator Magazin
09 | 2020 Ein Internetauftritt ist für Firmen heute eine Selbstverständlichkeit, doch gilt es beim Betrieb der entsprechenden Server einiges zu beachten. Im September beleuchtet das IT-Administrator Magazin deshalb das Schwerpunktthema "Webdienste und -server". Darin lesen Sie unter anderem, wie Sie Webapplikationen sinnvoll überwachen und welche Open-Source-Managementtools ...
Best VPN