geforce28
Goto Top

Server 2008 R2 Domänenprobleme

Hallo Leute,

ich hoffe hier sind vielleicht ein paar AD / Domänen Profis, die mir vielleicht helfen können.
Ich habe einen einzelnen Domaincontroller (domaene-dc04).
Alle anderen Domänencontroller (alt, da Server 2003) wurden entfernt.

Der Server "domaene-dc04" ist nun also der einzige DC für die Domäne: "Domaene".
Nun gibt DCDIAG bei KCCEvent folgende Fehler aus... :

      Starting test: KccEvent

         * The KCC Event log test
         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/08/2017   15:01:53

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/08/2017   15:01:53

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'  
            

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/08/2017   15:02:32

            EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einf??gen des Index (%1) wurde nicht gefunden..
            (Ereigniszeichenfolge (Ereignisprotokoll = Directory Service)

            konnte nicht abgerufen werden. Fehler: 0x3ab5)

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/08/2017   15:02:32

            EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einf??gen des Index (%1) wurde nicht gefunden..
            (Ereigniszeichenfolge (Ereignisprotokoll = Directory Service)

            konnte nicht abgerufen werden. Fehler: 0x3ab5)

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/08/2017   15:02:32

            EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einf??gen des Index (%1) wurde nicht gefunden..
            (Ereigniszeichenfolge (Ereignisprotokoll = Directory Service)

            konnte nicht abgerufen werden. Fehler: 0x3ab5)

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/08/2017   15:02:32

            Ereigniszeichenfolge:

            Internal event: An LDAP client connection was closed because of an error. 

             

            Client IP:

            [::1]:49162 

             

            Additional Data 

            Error value:

            1236 Die Netzwerkverbindung wurde durch das lokale System getrennt. 

            Internal ID:

            c0602f1

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/08/2017   15:02:32

            Ereigniszeichenfolge:

            Internal event: An LDAP client connection was closed because of an error. 

             

            Client IP:

            [::1]:49161 

             

            Additional Data 

            Error value:

            1236 Die Netzwerkverbindung wurde durch das lokale System getrennt. 

            Internal ID:

            c0602f1

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/08/2017   15:02:32

            Ereigniszeichenfolge:

            Internal event: An LDAP client connection was closed because of an error. 

             

            Client IP:

            [::1]:49166 

             

            Additional Data 

            Error value:

            1236 Die Netzwerkverbindung wurde durch das lokale System getrennt. 

            Internal ID:

            c0602f1

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/08/2017   15:02:32

            EvtFormatMessage failed (second call), error 15029 Die Ersatzzeichenfolge zum Einf??gen des Index (%1) wurde nicht gefunden..
            (Ereigniszeichenfolge (Ereignisprotokoll = Directory Service)

            konnte nicht abgerufen werden. Fehler: 0x3ab5)

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/08/2017   15:02:33

            Ereigniszeichenfolge:

            Internal event: An LDAP client connection was closed because of an error. 

             

            Client IP:

            NULL 

             

            Additional Data 

            Error value:

            995 Der E/A-Vorgang wurde wegen eines Threadendes oder einer Anwendungsanforderung abgebrochen. 

            Internal ID:

            c0102d4

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/08/2017   15:02:47

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/08/2017   15:02:47

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/08/2017   15:03:02

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            1 00002074: AtrErr: DSID-0312052C, #1:
            	0: 00002074: DSID-0312052C, problem 1001 (NO_ATTRIBUTE_OR_VAL), data 0, Att 90204 (serverReferenceBL)
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/08/2017   15:03:13

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-031001E5, problem 2001 (NO_OBJECT), data 0, best match of:
            	''  
            

         ......................... domaene-DC04 hat den Test KccEvent nicht

         bestanden.


Was kann ich tun ?
Irgendwelche Ansätze ?

DNS habe ich schon geprüft, dort steht überall nur noch der übrig gebliebene domaene-dc04 drin.
Auch unter AD-Standorte-und-Dienste ist nur noch der übrig gebliebene DC aufgelistet.


Ich hoffe, es kann mir jemand helfen face-wink

Content-ID: 345710

Url: https://administrator.de/forum/server-2008-r2-domaenenprobleme-345710.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 08.08.2017 um 15:43:00 Uhr
Goto Top
Also Logeinträge von MS sind immer etwas kryptsich gehalten... du wirst doch wissen ob deine Domäne noch funktioniert oder nicht, sprich Benutzer hinzufügen, REchte verwalten, GPOs erstellen und auswerten... wenn dabei seltsame Phänomene auftreten dann ist die Datenbank defekt und bei kleineren Netzen lohnt es sich nicht ein kaputtes AD zu flicken, das breitet sich dann nur immer weiter aus, da muß man dann mal nen cut machen.
emeriks
emeriks 08.08.2017 um 15:45:02 Uhr
Goto Top
Hi,
wie wurden die alten DC's entfernt?
Der verbleibende DC ist auch Global Catalog? Er hat alle 5 FSMO Rollen?
E.
geforce28
geforce28 08.08.2017 um 15:59:25 Uhr
Goto Top
Hallo Zusammen! ;)

@GrueneSosseMitSpeck:
Ja die Domäne funktioniert, soweit ich sehe, noch so wie sie sollte, jedoch möchte ich gerne, bevor ich einen weiteren DC hinzufüge, dass der dcdiag sauber ist... Ein Cut kommt nicht in Frage.

@emeriks:
Der eine DC wurde sauber mit DCPromo entfernt.
Der andere ließ sich nur noch mit dcpromo /force entfernen.

Der verbleibende DC hat alle FSMO Rollen, auch GC. ;)
133941
133941 08.08.2017 um 16:03:14 Uhr
Goto Top
Hallo.

Das sind Fehler bezüglich der Replikation. Dein DC vermisst seine Kumpels. Vermute du hast die Betriebsmaster-Rollen nicht übertragen oder Die alten DC's sind noch irgendwo registriert. Es gibt eine Menge Stoff dazu im Netz. Google is our best friend face-smile :D
geforce28
geforce28 08.08.2017 um 16:05:09 Uhr
Goto Top
Habe schon alles mögliche gegoogelt und gelesen.

Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?

Vielen Dank im Voraus.
emeriks
emeriks 08.08.2017 um 16:11:06 Uhr
Goto Top
Der andere ließ sich nur noch mit dcpromo /force entfernen.
Dies entfernt den DC nicht aus dem AD! Es enfernt nur die AD-Rolle vom Server.
Suche mal nach "NTDSUTIL" und "Metadata Cleanup".
Dani
Dani 08.08.2017 um 16:12:17 Uhr
Goto Top
Moin!
Wo können die alten DC's denn noch registriert sein ?
Wo könnte ich schauen ?
Stichwort: celan up metadata
https://technet.microsoft.com/en-us/library/cc816907(v=ws.10).aspx
https://www.petri.com/delete_failed_dcs_from_ad
http://kpytko.pl/active-directory-domain-services/metadata-cleanup-for- ...
http://www.msserverpro.com/metadata-cleanup-using-ntdsutil-in-windows-s ...

Habe schon alles mögliche gegoogelt und gelesen.
Anscheinend das falsche bzw. es scheitert an der Umsetzung.


Gruß,
Dani
geforce28
geforce28 08.08.2017 um 16:28:09 Uhr
Goto Top
metadata cleanup habe ich schon durch...
emeriks
emeriks 08.08.2017 um 16:35:58 Uhr
Goto Top
Versuche mal "dcdiag /fix". Vielleicht hilfts.
geforce28
geforce28 08.08.2017 um 16:59:22 Uhr
Goto Top
Danke für den Tipp... ;)
Habe ich aber auch schon versucht... face-sad
beidermachtvongreyscull
beidermachtvongreyscull 08.08.2017 aktualisiert um 17:58:35 Uhr
Goto Top
Bitte mal Netztopologie beschreiben:

Hast Du nur IPv6 im Einsatz oder fährst Du auch IPv4?
Dein Blech sucht sich anscheinend auf IPv6 und kriegt nüscht.

Im Zuge, dass Du Win2003 vorher mit benutzt hast, müsste es eigentlich IPv4 sein. Oder?

In welchem Modus befindet sich Deine Domäne derzeit 2008 gemischt?

Und bitte stell auch die Windowsereignislog-Einträge dazu zur Verfügung.
geforce28
geforce28 08.08.2017 um 21:53:15 Uhr
Goto Top
IPv6 wird nicht genutzt.
IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.

Das Domänenschema ist nun auf 2008 R2.

--
Wie gesagt, ich habe nur noch einen Server 2008R2, der jetzt alleiniger DC ist und alle FSMO Rollen besitzt.
Dazu haben wir noch einen Exchange 2007 mit in der Umgebung & das war es schon.. !
Dani
Dani 08.08.2017 um 22:04:46 Uhr
Goto Top
Moin,
IPv6 wird nicht genutzt. IPv6 im Netzwerk-Adapter habe ich soeben mal deaktiviert.
Gebot 1: Du sollst nicht Änderungen vornehmen, welche nicht Best Practice entsprechen. Bitte wieder rückgängig machen.


Gruß,
Dani
geforce28
geforce28 08.08.2017 um 22:06:42 Uhr
Goto Top
Alles klar, auch kein Problem, dann lass ich IPv6 eben aktiviert, aber wie komme ich jetzt weiter in meinem Dilemma ?.. face-confused
Dani
Dani 08.08.2017 um 22:40:34 Uhr
Goto Top
Moin,
metadata cleanup habe ich schon durch...
die manuellen Nacharbeiten auch? Anschließend bietet es sich an den DC neu zustarten. Nochmals ein Artikel als Referenz zu deinem Vorgehen. Sicher ist sicher.

Die FSMO Rollen sind vorher alle übertragen worden auf den verbleibenden DC, daran kann es nicht liegen.
Schön und gut, aber kontrolliere es bitte nochmals.


Gruß,
Dani
geforce28
geforce28 09.08.2017 um 08:28:34 Uhr
Goto Top
@Dani:
Ja habe ich inkl. Nacharbeiten gemacht.

Hier nochmal ein ausführliches DCDiag /e /v...
Die IP 10.1.1.10 ist übrigens die von unserem Exchange Server.

Verzeichnisserverdiagnose


Anfangssetup wird ausgef??hrt:

   Der Homeserver wird gesucht...

   * Vergewissern Sie sich, dass es sich bei dem lokalen Computer domaene-dc04

   um einen Verzeichnisserver handelt. 
   Homeserver = domaene-dc04

   * Die Verbindung mit dem Verzeichnisdienst auf Server domaene-dc04 wird

   hergestellt.

   * Identifizierte AD-Gesamtstruktur. 
   Collecting AD specific global data 
   * Standortinformationen werden gesammelt.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=domaene,DC=lan,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
   The previous call succeeded 
   Iterating through the sites 
   Looking at base site object: CN=NTDS Site Settings,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
   Getting ISTG and options for the site
   * Alle Server werden identifiziert.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=domaene,DC=lan,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
   The previous call succeeded....
   The previous call succeeded
   Iterating through the list of servers 
   Getting information for the server CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan 
   objectGuid obtained
   InvocationID obtained
   dnsHostname obtained
   site info obtained
   All the info for the server collected
   * Alle Querverweise des Namenskontexts werden identifiziert.

   * 1 Dom???nencontroller gefunden. 1 davon werden getestet.

   Sammeln der Ausgangsinformationen abgeschlossen.


Erforderliche Anfangstests werden ausgef??hrt.

   
   Server wird getestet: Standardname-des-ersten-Standorts\domaene-DC04

      Starting test: Connectivity

         * Active Directory LDAP Services Check
         Determining IP4 connectivity 
         * Active Directory RPC Services Check
         ......................... domaene-DC04 hat den Test Connectivity

         bestanden.



Prim???rtests werden ausgef??hrt.

   
   Server wird getestet: Standardname-des-ersten-Standorts\domaene-DC04

      Starting test: Advertising

         The DC domaene-DC04 is advertising itself as a DC and having a DS.
         The DC domaene-DC04 is advertising as an LDAP server
         The DC domaene-DC04 is advertising as having a writeable directory
         The DC domaene-DC04 is advertising as a Key Distribution Center
         The DC domaene-DC04 is advertising as a time server
         The DS domaene-DC04 is advertising as a GC.
         ......................... domaene-DC04 hat den Test Advertising

         bestanden.

      Test durch Benutzeranforderung ausgelassen: CheckSecurityError

      Test durch Benutzeranforderung ausgelassen: CutoffServers

      Starting test: FrsEvent

         * Der Ereignisprotokollierungstest f??r den Dateireplikationsdienst 
         F??r den Zeitraum der letzten 24 Stunden seit Freigabe des SYSVOL sind

         Warnungen oder Fehlerereignisse vorhanden. Fehler bei der

         SYSVOL-Replikation k???nnen Probleme mit der Gruppenrichtlinie zur Folge

         haben. 
         Warnung. Ereignis-ID: 0x800034FA

            Erstellungszeitpunkt: 08/08/2017   08:46:39

            Ereigniszeichenfolge:

            Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Dom???nencontrollers "domaene-dc04.domaene.lan" der Konfigurationsinformationen des FRS-Replikatsatzes vom Dateireplikationsdienst ermittelt wurden.   

             

             Es konnte keine Bindung mit dem Dom???nencontroller hergestellt werden. Der Vorgang wird beim n???chsten Abrufzyklus wiederholt.
            
             

            

         Warnung. Ereignis-ID: 0x800034FA

            Erstellungszeitpunkt: 08/08/2017   10:09:21

            Ereigniszeichenfolge:

            Es folgt eine Zusammenfassung aller Warnungen und Fehler, die beim Abfragen des Dom???nencontrollers "domaene-dc04.domaene.lan" der Konfigurationsinformationen des FRS-Replikatsatzes vom Dateireplikationsdienst ermittelt wurden.   

             

             Es konnte keine Bindung mit dem Dom???nencontroller hergestellt werden. Der Vorgang wird beim n???chsten Abrufzyklus wiederholt.
            
             

            

         ......................... domaene-DC04 hat den Test FrsEvent

         bestanden.

      Starting test: DFSREvent

         The DFS Replication Event Log. 
         ??berspringt den Test, da auf dem Server FRS ausgef??hrt wird.

         ......................... domaene-DC04 hat den Test DFSREvent

         bestanden.

      Starting test: SysVolCheck

         * Der SYSVOL-Bereitschaftstest f??r den Dateireplikationsdienst 
         Das SYSVOL des Dateireplikationsdiensts ist bereit. 
         ......................... domaene-DC04 hat den Test SysVolCheck

         bestanden.

      Starting test: KccEvent

         * The KCC Event log test
         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:14:46

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 000020EF: NameErr: DSID-032500FA, problem 2001 (NO_OBJECT), data -1603, best match of:
            	''  
            

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/09/2017   08:15:26

            Ereigniszeichenfolge:

            Internal event: An LDAP client connection was closed because of an error. 

             

            Client IP:

            10.1.1.10:8893 

             

            Additional Data 

            Error value:

            1236 Die Netzwerkverbindung wurde durch das lokale System getrennt. 

            Internal ID:

            c0602f1

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:15:27

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:15:27

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:15:46

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:15:46

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:17:13

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:17:13

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:17:13

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:17:13

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:17:13

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=MicrosoftDNS,CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:18:29

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:18:29

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:18:44

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:18:44

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:18:50

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            1 00002074: AtrErr: DSID-0312052C, #1:
            	0: 00002074: DSID-0312052C, problem 1001 (NO_ATTRIBUTE_OR_VAL), data 0, Att ffffffff (Not in cache!)
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:19:07

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=ForestUpdates,CN=Configuration,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:19:07

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:20:08

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            1 00002074: AtrErr: DSID-0312052C, #1:
            	0: 00002074: DSID-0312052C, problem 1001 (NO_ATTRIBUTE_OR_VAL), data 0, Att 90204 (serverReferenceBL)
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:20:08

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 000020EF: NameErr: DSID-032500FA, problem 2001 (NO_OBJECT), data -1603, best match of:
            	''  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:20:27

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:20:27

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=System,DC=domaene,DC=lan'  
            

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:20:27

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=System,DC=domaene,DC=lan'  
            

         Warnung. Ereignis-ID: 0x800004C0

            Erstellungszeitpunkt: 08/09/2017   08:20:56

            Ereigniszeichenfolge:

            Internal event: An LDAP client connection was closed because of an error. 

             

            Client IP:

            10.1.1.10:8925 

             

            Additional Data 

            Error value:

            1236 Die Netzwerkverbindung wurde durch das lokale System getrennt. 

            Internal ID:

            c0602f1

         Fehler. Ereignis-ID: 0xC00005C9

            Erstellungszeitpunkt: 08/09/2017   08:20:57

            Ereigniszeichenfolge:

            Internal error: The operation on the object failed. 

             

            Additional Data 

            Error value:

            2 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
            	'CN=407,CN=DisplaySpecifiers,CN=Configuration,DC=domaene,DC=lan'  
            

         ......................... domaene-DC04 hat den Test KccEvent nicht

         bestanden.

      Starting test: KnowsOfRoleHolders

         Role Schema Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
         Role Domain Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
         Role PDC Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
         Role Rid Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
         Role Infrastructure Update Owner = CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
         ......................... domaene-DC04 hat den Test

         KnowsOfRoleHolders bestanden.

      Starting test: MachineAccount

         Checking machine account for DC domaene-DC04 on DC domaene-DC04.
         * SPN found :LDAP/domaene-dc04.domaene.lan/domaene.lan
         * SPN found :LDAP/domaene-dc04.domaene.lan
         * SPN found :LDAP/domaene-DC04
         * SPN found :LDAP/domaene-dc04.domaene.lan/domaene
         * SPN found :LDAP/3153bf66-452a-4a9e-afb0-34cfe6806464._msdcs.domaene.lan
         * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/3153bf66-452a-4a9e-afb0-34cfe6806464/domaene.lan
         * SPN found :HOST/domaene-dc04.domaene.lan/domaene.lan
         * SPN found :HOST/domaene-dc04.domaene.lan
         * SPN found :HOST/domaene-DC04
         * SPN found :HOST/domaene-dc04.domaene.lan/domaene
         * SPN found :GC/domaene-dc04.domaene.lan/domaene.lan
         ......................... domaene-DC04 hat den Test MachineAccount

         bestanden.

      Starting test: NCSecDesc

         * Security Permissions check for all NC's on DC domaene-DC04.  
         The forest is not ready for RODC. Will skip checking ERODC ACEs.
         * ??berpr??fung der Sicherheitsberechtigungen f??r

           DC=DomainDnsZones,DC=domaene,DC=lan
            (NDNC,Version 3)
         * ??berpr??fung der Sicherheitsberechtigungen f??r

           DC=ForestDnsZones,DC=domaene,DC=lan
            (NDNC,Version 3)
         * ??berpr??fung der Sicherheitsberechtigungen f??r

           CN=Schema,CN=Configuration,DC=domaene,DC=lan
            (Schema,Version 3)
         * ??berpr??fung der Sicherheitsberechtigungen f??r

           CN=Configuration,DC=domaene,DC=lan
            (Configuration,Version 3)
         * ??berpr??fung der Sicherheitsberechtigungen f??r

           DC=domaene,DC=lan
            (Domain,Version 3)
         ......................... domaene-DC04 hat den Test NCSecDesc

         bestanden.

      Starting test: NetLogons

         * Network Logons Privileges Check
         Verified share \\domaene-DC04\netlogon
         Verified share \\domaene-DC04\sysvol
         ......................... domaene-DC04 hat den Test NetLogons

         bestanden.

      Starting test: ObjectsReplicated

         domaene-DC04 is in domain DC=domaene,DC=lan
         Checking for CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan in domain DC=domaene,DC=lan on 1 servers
            Object is up-to-date on all servers.
         Checking for CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan in domain CN=Configuration,DC=domaene,DC=lan on 1 servers
            Object is up-to-date on all servers.
         ......................... domaene-DC04 hat den Test ObjectsReplicated

         bestanden.

      Test durch Benutzeranforderung ausgelassen: OutboundSecureChannels

      Starting test: Replications

         * Replications Check
         * Replication Latency Check
            DC=DomainDnsZones,DC=domaene,DC=lan
               Latency information for 7 entries in the vector were ignored.
                  7 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
            DC=ForestDnsZones,DC=domaene,DC=lan
               Latency information for 8 entries in the vector were ignored.
                  8 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
            CN=Schema,CN=Configuration,DC=domaene,DC=lan
               Latency information for 8 entries in the vector were ignored.
                  8 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
            CN=Configuration,DC=domaene,DC=lan
               Latency information for 8 entries in the vector were ignored.
                  8 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
            DC=domaene,DC=lan
               Latency information for 8 entries in the vector were ignored.
                  8 were retired Invocations.  0 were either: read-only replicas and are not verifiably latent, or dc's no longer replicating this nc.  0 had no latency information (Win2K DC).    
         ......................... domaene-DC04 hat den Test Replications

         bestanden.

      Starting test: RidManager

         * Available RID Pool for the Domain is 6100 to 1073741823
         * domaene-dc04.domaene.lan is the RID Master
         * DsBind with RID Master was successful
         * rIDAllocationPool is 4100 to 4599
         * rIDPreviousAllocationPool is 4100 to 4599
         * rIDNextRID: 4264
         ......................... domaene-DC04 hat den Test RidManager

         bestanden.

      Starting test: Services

         * Checking Service: EventSystem
         * Checking Service: RpcSs
         * Checking Service: NTDS
         * Checking Service: DnsCache
         * Checking Service: DFSR
         * Checking Service: IsmServ
         * Checking Service: kdc
         * Checking Service: SamSs
         * Checking Service: LanmanServer
         * Checking Service: LanmanWorkstation
         * Checking Service: w32time
         * Checking Service: NETLOGON
         ......................... domaene-DC04 hat den Test Services

         bestanden.

      Starting test: SystemLog

         * The System Event log test
         Warnung. Ereignis-ID: 0x000003FC

            Erstellungszeitpunkt: 08/09/2017   07:29:50

            Ereigniszeichenfolge:

            Der Bereich "10.4.5.0" ist zu 100 Prozent ausgelastet. Es stehen nur noch 0 IP-Adressen zur Verf??gung.  

         Warnung. Ereignis-ID: 0x000003FC

            Erstellungszeitpunkt: 08/09/2017   07:29:50

            Ereigniszeichenfolge:

            Der Bereich "10.6.5.0" ist zu 100 Prozent ausgelastet. Es stehen nur noch 0 IP-Adressen zur Verf??gung.  

         Found no errors in "System" Event log in the last 60 minutes.  
         ......................... domaene-DC04 hat den Test SystemLog

         bestanden.

      Test durch Benutzeranforderung ausgelassen: Topology

      Test durch Benutzeranforderung ausgelassen: VerifyEnterpriseReferences

      Starting test: VerifyReferences

         Der Systemobjektverweis (serverReference)

         CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan sowie der

         Backlink auf

         CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan

         sind korrekt. 
         Der Systemobjektverweis (serverReferenceBL)

         CN=WIN-2GDFPKII20L,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domaene,DC=lan

         sowie der Backlink auf

         CN=NTDS Settings,CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan

         sind korrekt. 
         Der Systemobjektverweis (frsComputerReferenceBL)

         CN=WIN-2GDFPKII20L,CN=Domain System Volume (SYSVOL share),CN=File Replication Service,CN=System,DC=domaene,DC=lan

         sowie der Backlink auf

         CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan sind

         korrekt. 
         ......................... domaene-DC04 hat den Test VerifyReferences

         bestanden.

      Test durch Benutzeranforderung ausgelassen: VerifyReplicas

   
      Test durch Benutzeranforderung ausgelassen: DNS

      Test durch Benutzeranforderung ausgelassen: DNS

   
   Partitionstests werden ausgef??hrt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgef??hrt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgef??hrt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

   
   Partitionstests werden ausgef??hrt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

   
   Partitionstests werden ausgef??hrt auf: domaene

      Starting test: CheckSDRefDom

         ......................... domaene hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... domaene hat den Test CrossRefValidation

         bestanden.

   
   Unternehmenstests werden ausgef??hrt auf: domaene.lan

      Test durch Benutzeranforderung ausgelassen: DNS

      Test durch Benutzeranforderung ausgelassen: DNS

      Starting test: LocatorCheck

         Name des globalen Katalogs: \\domaene-dc04.domaene.lan

         Locator Flags: 0xe00033fd
         PDC Name: \\domaene-dc04.domaene.lan
         Locator Flags: 0xe00033fd
         Time Server Name: \\domaene-dc04.domaene.lan
         Locator Flags: 0xe00033fd
         Preferred Time Server Name: \\domaene-dc04.domaene.lan
         Locator Flags: 0xe00033fd
         KDC Name: \\domaene-dc04.domaene.lan
         Locator Flags: 0xe00033fd
         ......................... domaene.lan hat den Test LocatorCheck

         bestanden.

      Starting test: Intersite

         Der Standort Standardname-des-ersten-Standorts wird ??bersprungen. Der

         Standort liegt au??erhalb des Bereichs, der mithilfe der

         Befehlszeilenargumente angegeben wurde. 
         ......................... domaene.lan hat den Test Intersite

         bestanden.
Dani
Dani 09.08.2017 um 08:59:36 Uhr
Goto Top
Moin,
führe bitte auf dem DC noch ein netdiag /v aus und poste das Ergebnis hier.


Gruß,
Dani
geforce28
geforce28 09.08.2017 um 09:13:28 Uhr
Goto Top
Netdiag kennt mein Server nicht, obwohl alle Support Tools installiert sind.

Lt. MS Technet:
Apparently netdiag is not supported in Windows Server 2008 or later, you can use Dcdiag instead.
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 aktualisiert um 09:21:22 Uhr
Goto Top
Mir machen die Zeilen 701-717 Kopfzerbrechen.

Wenn Du nur einen DC hast, wieso hat der dann immernoch anstehende Replikation invocations (wenn auch retired)?

Hattest Du, bevor Du den 2003er entfernt hast, die Replikation nochmal geprüft mit repadmin /showrepl?
War die in Ordnung?

Meine Sorge wäre, dass eventuell die Replikation irgendwann über den Jordan ging und der 2008er das nicht begriffen hat.
In Zusammenspiel mit 2003 ist "Islanding" nach wie vor ein Begriff. Auch was den Secure Channel angeht, der anscheinend broken ist.

Normalerweise würde man das so beheben:
Auf der betroffenen Maschine schaltet man den KDC-Dienst aus und bootet neu.
Dadurch wird diese gezwungen, sich mit dem KDC eines anderen DCs derselben Domäne auszutauschen.
Dann würde man das Maschinenkonto wieder zurücksetzen: netdom resetpwd /server: /userd:\ /passwordd:*
den KDC freigeben und den DC nochmal starten.

Da jetzt hier nur noch einer da ist, wird die Sache interessant.
Die Maschine muss sich an ihrem eigenen AD-Dienst anmelden. Das scheint auch zu funktionieren, sonst würde DCDiag das anzeigen.

Auf 2003 gab es ein gutes Tool namens Kerbtray.
https://social.technet.microsoft.com/wiki/contents/articles/2170.windows ...

Damit konnte man das Kerberosticket der Maschine löschen und eine Neuerstellung veranlassen.

Vielleicht hilft das ja.


Vergiss obiges...

Folgendes:
dcdiag /fix
netdiag /fix
repadmin /kcc

Da der KCC nicht sauber arbeitet, nehme ich ne kaputte Replikationstopologie an. Da sind wohl "Leichen im Keller" geblieben.
geforce28
geforce28 09.08.2017 um 09:34:00 Uhr
Goto Top
dcdiag /fix
+
repadmin /kcc
ausgeführt.

repadmin /kcc sagt: "Die Konsistenzprüfung auf localhost war erfolgreich".

Die errors im DCDIAG bleiben jedoch, bzw. es tauchen immer wieder neue KCCevents auf.
Hat also leider nichts geholfen...
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 aktualisiert um 09:43:49 Uhr
Goto Top
Mach mal bitte folgendes:

Lösche in eventlog alle logs nachdem Du sie gespeichert hast.

dcdiag ist manchmal auch ein Schlingel und schmeißt Fehler, weil noch welche (egal wie alt) im entsprechenden eventlog stehen.
geforce28
geforce28 09.08.2017 um 10:06:34 Uhr
Goto Top
@beidermachtvongreyscull:
Habe ich soeben gemacht.
Leider tauchen wieder kccevents auf, natürlich mit neuen Uhrzeiten...
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 um 10:32:22 Uhr
Goto Top
Kannst Du mir bitte mal einen Screenshot des entsprechenden Ereignislogs schicken?
Mir geht es darum zu sehen, was vor während und nach den Fehlern passiert.

Das entsprechende Log müsste hier sein:

Anwendungs- und Dienstprotokolle --> Verzeichnisdienst.

NTDS KCC müsste hier Einträge liefern.
geforce28
geforce28 09.08.2017 um 10:45:46 Uhr
Goto Top
Na klaro face-smile Bittesehr...
Und erstmal danke für deine Hilfe und Mühe!

screen
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 aktualisiert um 11:55:44 Uhr
Goto Top
Zitat von @geforce28:

Na klaro face-smile Bittesehr...
Und erstmal danke für deine Hilfe und Mühe!

Du brauchst nicht zu danken.
Ich helfe gerne.

Ein Kollege hat hier
https://social.technet.microsoft.com/Forums/windows/en-US/95e6c5ca-a8fe- ...
etwas interessantes erwähnt.

Er empfiehlt eine semantische Datenbankanalyse.
Aus dem Threadverlauf hat sich ergeben, dass Du einen DC mit /force aus der Domäne heraushebeln musstest.
In Bezug auf diesen Fall in Kombination mit dem Fehler des Eventlogs, halte ich es zurzeit für wahrscheinlich, dass da wirklich Rückstände übrig geblieben sind, an die die Tools so nicht herankommen.

Der Kollege empfiehlt diesen Link:
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx

Ich halte das für schlüssig, muss Dich aber warnen.
Wenn Du den ntds-Dienst herunterfährst, funktioniert Dein AD erstmal nicht mehr.
Ob dieser Beitrag in einer Domäne machbar ist, die nur einen Controller hat, ist fraglich, das gebe ich zu.

Ich wage mal vorsichtig die Behauptung, dass Deine Domäne zwar fehlerhaft läuft, aber sie läuft.
Die wichtigsten Dienste scheinen ja ihre Arbeit zu machen und wenn Du einen Exchange im Rennen hast und der sich bisher nicht beschwert hat (schau mal bitte in dessen Logs!), ist das ein recht gutes Zeichen.

Mach Dir bitte auch mal den Spass mit repadmin /showrepl
Lass mich wissen, was bei DSA-Optionen steht.


Ergänzung

Es gibt einen Hotfix für einen speziellen Fall, der aber auch Deine Fehlernummer betrifft:
https://support.microsoft.com/en-us/help/2413670/events-1659--1481--and- ...

Lt Beschreibung ist das auch möglich.
Ein 2008er verbleibt als letzter DC in der Domäne und spuckt dann Fehler aus.
geforce28
geforce28 09.08.2017 um 12:00:30 Uhr
Goto Top
Auf die "Semantic Database Analysis" bin ich auch gestern Abend noch gestoßen & hatte das ganze mal ausgeführt.
Leider hat dies meinen Fehler nicht behoben...

Also repadmin /showrepl gibt als DSA-Option "IS_GC" aus.
Was bedeutet das ?...

Das mit dem Hotfix werde ich gleich mal testen ;)
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 aktualisiert um 12:05:21 Uhr
Goto Top
Zitat von @geforce28:
Also repadmin /showrepl gibt als DSA-Option "IS_GC" aus.
Was bedeutet das ?...

Das bedeutet, dass Dein AD soweit normal arbeitet und die Datenbank für den Betrieb in Ordnung ist.
Wäre das nicht der Fall, hättest Du hier andere Optionen drin stehen z.B. disable_inbound_repl disable_outbound_repl.
IS_GC bedeutet, dass der DC sich selbst als Globalen Katalog sieht und auch so propagiert. Das ist OK.

Es scheint wirklich nur noch im Bereich der Topologie ein Problem zu geben.
Vielleicht hilft der Patch ja.

Manchmal sieht die Software Probleme, wo keine sind.
geforce28
geforce28 09.08.2017 um 12:26:37 Uhr
Goto Top
Okay Hotfix kann ich leider nicht installieren..
"Die Software ist nicht für ihren Computer geeignet" ist die Meldung, die dann kommt...
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 um 12:40:29 Uhr
Goto Top
Stimmt den die Voraussetzung?

Windows 2008 R2 SP1 x86/x64
geforce28
geforce28 09.08.2017 um 12:45:29 Uhr
Goto Top
Ja.

Server 2008 R2 SP1 64Bit.

scren2
geforce28
geforce28 09.08.2017 um 13:55:46 Uhr
Goto Top
Ich habe vielleicht einen neuen Ansatzpunkt...

Habe gerade mal NTFRSUTL ds ausgeführt...
Ergebnis:

NTFRS CONFIGURATION IN THE DS
SUBSTITUTE DCINFO FOR DC
   FRS  DomainControllerName: (null)
   Computer Name            : domaene-DC04
   Computer DNS Name        : domaene-dc04.domaene.lan

BINDING TO THE DS:
   ldap_connect     : domaene-dc04.domaene.lan
   DsBind     : domaene-dc04.domaene.lan

NAMING CONTEXTS:
   SitesDn    : CN=Sites,cn=configuration,dc=domaene,dc=lan
   ServicesDn : CN=Services,cn=configuration,dc=domaene,dc=lan
   DefaultNcDn: DC=domaene,DC=lan
   ComputersDn: CN=Computers,DC=domaene,DC=lan
   DomainCtlDn: OU=Domain Controllers,DC=domaene,DC=lan
   Fqdn       : CN=domaene-DC04,OU=Domain Controllers,DC=domaene,DC=lan
   Searching  : Fqdn

COMPUTER: domaene-DC04
   DN   : cn=domaene-dc04,ou=domain controllers,dc=domaene,dc=lan
   Guid : 97e502fe-b0ac-4265-a4d238c17f437f73
   UAC  : 0x00082000
   Server BL : CN=domaene-DC04,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=domaene,DC=lan
   Settings  : cn=ntds settings,cn=domaene-dc04,cn=servers,cn=standardname-des-ersten-standorts,cn=sites,cn=configuration,dc=domaene,dc=lan
   DNS Name  : domaene-dc04.domaene.lan
   WhenCreated  : 10/26/2011 20:52:53 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
   WhenChanged  : 8/7/2017 14:25:30 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]

   SUBSCRIPTION: NTFRS SUBSCRIPTIONS
      DN   : cn=ntfrs subscriptions,cn=domaene-dc04,ou=domain controllers,dc=domaene,dc=lan
      Guid : f411b3c4-f25a-49b9-a1f85221c79e8b4d
      Working       : c:\windows\ntfrs
      Actual Working: c:\windows\ntfrs
      WhenCreated  : 10/26/2011 20:55:23 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
      WhenChanged  : 10/26/2011 20:55:23 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]

      SUBSCRIBER: DOMAIN SYSTEM VOLUME (SYSVOL SHARE)
         DN   : cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn=domaene-dc04,ou=domain controllers,dc=domaene,dc=lan
         Guid : 985b407a-2119-4cd6-937c944241c653d8
         Member Ref: (null)
         Root      : c:\windows\sysvol\domain
         Stage     : c:\windows\sysvol\staging\domain
         WhenCreated  : 10/26/2011 20:55:23 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
         WhenChanged  : 10/26/2011 20:55:23 Mitteleurop??ische Zeit Mitteleurop??ische Sommerzeit [-60]
   domaene-DC04 IS NOT A MEMBER OF ANY SET!
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 um 15:10:09 Uhr
Goto Top
Falls Du Dich über die letzte Zeile wunderst...

Das ist aus meiner Sicht normal.
Der File Replication Dienst hat ja nur was zu tun, wenn mehr als ein DC eingerichtet ist.
Dann werden dort sogenannte ReplicaSets angemeldet und bedient.

Bei nur einem DC ist dieser Dienst fast schon Makulatur.
Hättest Du ernsthafte Probleme am NTFRS würde dieser das Heraufstufen zum Domänencontroller nach einem Neustart nämlich verhindern.
Wenn er das nicht tut, ist das ein gutes Zeichen.

Müsste im Systemlog auch aufgeführt sein.
geforce28
geforce28 09.08.2017 um 15:22:57 Uhr
Goto Top
Hm konkret hatte mich folgende Zeile verwundert:
FRS  DomainControllerName: (null) 

Aber gut, wenn du sagst das ist normal okay..

Jetzt ist aber die Frage, wie geht es weiter ??
Scheinbar greifen ja irgendwelche Dienste auf Objekte im AD zu, die es nicht gibt.
(NO_OBJECT).

Kann ich denn irgendwie herausfinden, um welche Objekte es sich da genau handelt und ggf. so zu einer Lösung zu kommen... ?
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 aktualisiert um 15:45:25 Uhr
Goto Top
Schau mal hier:
https://blogs.technet.microsoft.com/askds/2008/10/31/troubleshooting-kcc ...

Ich nehme immer noch an, dass da irgendwas schiefgelaufen ist.
Seien es
  • Rückstände im AD
  • Rückstände im DNS

Es scheint ihm aus irgendeinem Grund nicht klar zu sein, dass er der einzige DC ist.

DCDIAG meldet, er ist ein DC und er ist ok (Soweit)

So auch:
https://blogs.technet.microsoft.com/canitpro/2016/02/17/step-by-step-rem ....


NACHTRAG

https://blogs.technet.microsoft.com/markmoro/2011/08/05/you-are-not-smar ...

Schau mal vorsichtig mit ADSI-Edit in die Configurations-Partition vom AD. (ist hier im Text mittig erwähnt).
Sind da noch Reste eines Replikationspartners von Deinem jetzigen DC zu sehen?

NACHTRAG 2

https://www.safaribooksonline.com/library/view/active-directory-cookbook ...
MIt Verweis auf obigen Link:
Schau mal unter AD Sites and Services.
Hast Du neben Deiner eigentlichen Site noch eine definiert?
geforce28
geforce28 09.08.2017 aktualisiert um 15:51:39 Uhr
Goto Top
Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..


EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?
beidermachtvongreyscull
beidermachtvongreyscull 09.08.2017 aktualisiert um 17:06:34 Uhr
Goto Top
Zitat von @geforce28:

Ja die Seiten habe ich alle schon gefühlte 100x durch...
Habe heute den ganzen Tag nichts anderes gemacht, als recherchiert um das irgendwie in den Griff zu bekommen, aber jetzt bin ich auch langsam am Ende mit meinem Latein..

Glaub mir, mir gehen auch die Ideen aus. Was mich einfach wundert ist, dass der Schlingel den Patch nicht fressen wollte.
Entweder ist der in einem Patch oder Rollup aufgegangen, was ich mir aber nicht vorstellen kann, oder es liegt etwas anderes vor.



EDIT:
Ja im ADSI-Edit in der Configurations-Partition ist nur 1 Site und auch nur der eine Server, keine Reste mehr von anderen.
Und bei dem Server steht der Option Parameter auch auf 1.
Sollte ich diesen verändern ?

Nein. Lass ihn, wie er ist.

Probiere mal folgendes:

repadmin /options <DC NAME> -DISABLE_OUTBOUND_REPL
repadmin /options <DC NAME> -DISABLE_INBOUND_REPL

Dies schaltet die Replication Deines DCs aus.
Du siehst es, wenn Du einfach dann repadmin /showreps eingibst in den DSA-Optionen.

Wenn Du dann in die Eventlog schaust, sollten ein paar neue KCC Warnings 1113,1115 auftauchen.
Mich würde interessieren, ob der KCC-Fehler 1481 dann verschwindet.

NACHTRAG

Schau mal bitte noch nach, ob
HKLM\System\CurrentControlSet\Services\NTDS\Parameters
einen Parameter namens "DSA Not Writable" (REG_DWORD) drin hat.

NACHTRAG 2

Unter AD Sites and Services...
Wer ist der Generator für standort übergreifende Topologie?
geforce28
geforce28 09.08.2017 aktualisiert um 21:50:50 Uhr
Goto Top
Zum Parameter: "DSA Not Writable":
JA hat er drin, ist auf 4 gesetzt.

Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??

EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...


Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:

Aktuell DSA-Optionen: IS_GC
Neu DSA-Optionen: IS_GC

Leider besteht das Problem weiterhin...
beidermachtvongreyscull
beidermachtvongreyscull 10.08.2017 um 07:30:17 Uhr
Goto Top
Zitat von @geforce28:

Zum Parameter: "DSA Not Writable":
JA hat er drin, ist auf 4 gesetzt.

Das ist schlecht!


Zu NACHTRAG2:
Wo sehe ich, wer der Generator ist ??

Active Directory Sites and Services --> Rechtsklick auf die NTDS Settings der Site.


EDIT:
Zu dem DSA Not Writable habe ich folgendes durchgeführt...
(den Punkt "Single-DC Procedere")
https://windorks.wordpress.com/2014/07/25/ad-replication-issues-usn-roll ...

Hoffentlich hast Du NICHT alles durchgeführt.
Denn da sind Überlegungen notwendig, warum Dein letzter verbliebener DC seine AD-Datenbank schreibgeschützt hat!



Repadmin /options domaene-dc04 -disable_outbound_repl
und
Repadmin /options domaene-dc04 -disable_inbound_repl
ergab beides:

> Aktuell DSA-Optionen: IS_GC
> Neu DSA-Optionen: IS_GC
> 

Das ist ok. Er hat nichts zum replizieren und setzt deswegen diese Optionen auch nicht.

Leider besteht das Problem weiterhin...

Nach einem Neustart kann das normal sein. Wichtig ist, jetzt alle eventlogs im Auge zu behalten und schauen, welche Fehler noch hinein gespült werden.

Wenn nach wie vor alles läuft und "DSA not writeable" nicht mehr mit dem Wert 0x4 (besser eigentlich wenn gar nicht mehr) in der Registry auftaucht, dann ist das schon mal ein ganz gutes Zeichen.
geforce28
geforce28 10.08.2017 um 08:13:09 Uhr
Goto Top
Wie gesagt, das was unter: "Single-DC Procedure" steht, habe ich alles durchgeführt.
Aber scheint noch alles so zu ticken wie es soll. Exchange läuft jedenfalls reibungslos nach der Aktion.

Die Fehler im Eventlog erscheinen aber immer noch.

DSA not writable ist bisher nicht mehr in der Registry aufgetaucht face-smile


Der domaene-dc04 ist auch der Generator der Site, habe ich eben nachgeschaut.
beidermachtvongreyscull
beidermachtvongreyscull 10.08.2017 um 09:30:53 Uhr
Goto Top
Mach bitte nochmal einen Metadata Clean mit ntdsutil und dann einen Semantikcheck
https://technet.microsoft.com/en-us/library/cc816754(v=WS.10).aspx
geforce28
geforce28 10.08.2017 um 09:35:39 Uhr
Goto Top
Hatte ich gestern schon gemacht, aber jetzt nochmal.
Keine Verbesserung & scheinbar auch keine Fehler.

ntds
beidermachtvongreyscull
beidermachtvongreyscull 10.08.2017 aktualisiert um 09:49:04 Uhr
Goto Top
Halt die Sache mal einfach im Auge.

Vielleicht wächst sich der Fehler auch jetzt aus und verschwindet, wo "DSA not writeable" raus ist.

Noch etwas:
Lass mich mal wissen, in welchen Abständen dieser Fehler auftaucht und ob zeitgleich noch im Systemlog einer erscheint.

Ich muss gestehen, ich weiß zur Zeit auch nicht weiter.
geforce28
geforce28 10.08.2017 um 10:25:40 Uhr
Goto Top
Hm, ja so richtig wohl ist mir nicht bei dem Gedanken....

Ja der Fehler taucht alle 5 Minuten im Eventlog auf.
Im Systemlog ist nichts zeitgleiches.
Vancouverona
Vancouverona 10.08.2017 um 12:17:32 Uhr
Goto Top
Ich habe das hier "https://community.spiceworks.com/topic/215890-domain-totally-screwed-i-need-some-major-help" gefunden. Die Situation und das Fehlerbild sind sehr ähnlich zu Deinem.

Ansonsten hilft im Regelfall:
dcdiag /fix
netdiag /fix
repadmin /kcc
geforce28
geforce28 10.08.2017 um 12:28:12 Uhr
Goto Top
Mh, ja aber das haben wir ja alles schon erfolglos durch... face-confused
beidermachtvongreyscull
Lösung beidermachtvongreyscull 10.08.2017 aktualisiert um 13:11:41 Uhr
Goto Top
Schau mal bitte nach folgendem:
https://support.microsoft.com/de-de/help/314980/how-to-configure-active- ...

Ich habe den Verdacht, dass da jemand das Debug-Logging angesschaltet hat.

Es gibt Fehler und Warnungen und Informationen, die auf sog. internal Events im AD zurückgehen und nicht immer relevant sind.

Diese sind standardmäßig ausgeblendet oder werden gar nicht geloggt.

Ich bin nämlich fast der Meinung, dass Du den Fehler ignorieren kannst, wenn zutrifft, was ich vermute.
geforce28
geforce28 10.08.2017 um 13:32:41 Uhr
Goto Top
Bingo !!
Alles auf 0 gesetzt (ist ja Standard oder ?)
Und jetzt tauchen überhaupt keine Events mehr unter "Verzeichnisdienst" auf...
beidermachtvongreyscull
beidermachtvongreyscull 10.08.2017 um 13:46:52 Uhr
Goto Top
Stand auf 5, richtig?

0 ist laut dem KB-Artikel Standard.
geforce28
geforce28 10.08.2017 um 13:54:49 Uhr
Goto Top
Jep waren sogar mehrere Sachen auf 5 ;)
beidermachtvongreyscull
beidermachtvongreyscull 10.08.2017 um 14:03:58 Uhr
Goto Top
OK.

Dann weiterhin alles Gute!

Bis denn.
geforce28
geforce28 10.08.2017 um 14:16:13 Uhr
Goto Top
Ich danke dir vielmals für deine Hilfe und Geduld face-smile !