Server 2016 repliziert nicht mehr

Hallo zusammen

Haben heute einen Fehler bei uns im AD festgestellt. Alle User die kein Member der "Domain Admin" Gruppe sind, können sich nicht mehr an Client Rechnern anmelden. Es kommt lediglich die Fehlermeldung "Die verwendete Anmeldemethode ist nicht zulässig. ..." zurück.

Es sind drei DCs im Einsatz (1x Hardware, 2x Virtuell auf ESX). Jeweils single homed, ein Aktiver Adapter und eine IPv4 Adresse. Grundlegende Funktionen wie DNS und co. funktionieren mal.

Alle drei sind Windows Server 2016 mit den Aktuellsten Updates.

Domänenfunktionsebene, früher 2012R2, heute 2016, dasselbe gilt für die Gesamtstrukturfunktionsebene.

Nach langem forschen im Internet kam ich unter anderem auf folgenden Fehler:

DC 1 (Obelix)

C:\Users\rosp>repadmin /showrepl

Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführt
Pfimi-SH\OBELIX
DSA-Optionen: IS_GC
Standortoptionen: (none)
DSA-Objekt-GUID: 227a571e-6627-4d01-ac47-e459ffa4f0df
DSA-Aufrufkennung: c6e7af03-6126-4a44-aed7-db994fb5c434

==== EINGEHENDE NACHBARN=====================================

DC=pfimi-sh,DC=lan
    Pfimi-SH\IDEFIX über RPC
        DSA-Objekt-GUID: 73d3f222-837e-4f15-8d03-ce6453798df1
        Letzter Versuch am 2018-12-27 18:49:58 war erfolgreich.
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 18:49:58 war erfolgreich.

CN=Configuration,DC=pfimi-sh,DC=lan
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 18:49:58 war erfolgreich.
    Pfimi-SH\IDEFIX über RPC
        DSA-Objekt-GUID: 73d3f222-837e-4f15-8d03-ce6453798df1
        Letzter Versuch am 2018-12-27 18:49:58 war erfolgreich.

CN=Schema,CN=Configuration,DC=pfimi-sh,DC=lan
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 18:49:58 war erfolgreich.
    Pfimi-SH\IDEFIX über RPC
        DSA-Objekt-GUID: 73d3f222-837e-4f15-8d03-ce6453798df1
        Letzter Versuch am 2018-12-27 18:49:58 war erfolgreich.

DC=DomainDnsZones,DC=pfimi-sh,DC=lan
    Pfimi-SH\IDEFIX über RPC
        DSA-Objekt-GUID: 73d3f222-837e-4f15-8d03-ce6453798df1
        Letzter Versuch am 2018-12-27 18:49:59 war erfolgreich.
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 18:49:59 war erfolgreich.

DC=ForestDnsZones,DC=pfimi-sh,DC=lan
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 18:49:59 war erfolgreich.
    Pfimi-SH\IDEFIX über RPC
        DSA-Objekt-GUID: 73d3f222-837e-4f15-8d03-ce6453798df1
        Letzter Versuch am 2018-12-27 18:49:59 war erfolgreich.
DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105):
    Der Replikationszugriff wurde verweigert.
DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105):
    Der Replikationszugriff wurde verweigert.

C:\Users\rosp>repadmin /replsummary
Startzeit der Replikationszusammenfassung: 2018-12-27 19:01:01

Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
  ......


Quell-DSA          Größtes Delta    Fehler/gesamt %%  Fehler
 ASTERIX                   11m:03s    0 /  10    0
 IDEFIX                    14m:04s    0 /  10    0
 OBELIX                    14m:04s    0 /  10    0


Ziel-DSA           Größtes Delta    Fehler/gesamt %%  Fehler
 ASTERIX                   14m:05s    0 /  10    0
 IDEFIX                    10m:54s    0 /  10    0
 OBELIX                    11m:04s    0 /  10    0

C:\Users\rosp>DCDIAG /test:CheckSecurityError

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = OBELIX
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Pfimi-SH\OBELIX
      Starting test: Connectivity
         ......................... OBELIX hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Pfimi-SH\OBELIX
      Starting test: CheckSecurityError
            [OBELIX] Fehler bei DsReplicaGetInfo(KCC_DS_CONNECT_FAILURES): 8453,
            [OBELIX] Die Liste mit den Verbindungsfehlern der Konsistenzprüfung kann nicht abgefragt werden. Der Vorgang wird fortgesetzt...
         [OBELIX] Auf dem Domänencontroller wurden keine sicherheitsbedingten Replikationsfehler gefunden. Verwenden Sie den folgenden Befehl, um die Verbindung an einen bestimmten Quelldomänencontroller zu richten:
         /ReplSource:<Domänencontroller>.
         ......................... OBELIX hat den Test CheckSecurityError bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: pfimi-sh

   Unternehmenstests werden ausgeführt auf: pfimi-sh.lan

DC 2 (Idefix)

C:\Users\rosp>repadmin /showrepl

Repadmin: Befehl "/showrepl" wird für den vollständigen DC "localhost" ausgeführt
Pfimi-SH\IDEFIX
DSA-Optionen: IS_GC
Standortoptionen: (none)
DSA-Objekt-GUID: 73d3f222-837e-4f15-8d03-ce6453798df1
DSA-Aufrufkennung: 1cfff805-76ce-4918-acf7-7db445a56c8a

==== EINGEHENDE NACHBARN=====================================

DC=pfimi-sh,DC=lan
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.
    Pfimi-SH\OBELIX über RPC
        DSA-Objekt-GUID: 227a571e-6627-4d01-ac47-e459ffa4f0df
        Letzter Versuch am 2018-12-27 19:06:41 war erfolgreich.

CN=Configuration,DC=pfimi-sh,DC=lan
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.
    Pfimi-SH\OBELIX über RPC
        DSA-Objekt-GUID: 227a571e-6627-4d01-ac47-e459ffa4f0df
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.

CN=Schema,CN=Configuration,DC=pfimi-sh,DC=lan
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.
    Pfimi-SH\OBELIX über RPC
        DSA-Objekt-GUID: 227a571e-6627-4d01-ac47-e459ffa4f0df
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.

DC=DomainDnsZones,DC=pfimi-sh,DC=lan
    Pfimi-SH\OBELIX über RPC
        DSA-Objekt-GUID: 227a571e-6627-4d01-ac47-e459ffa4f0df
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.

DC=ForestDnsZones,DC=pfimi-sh,DC=lan
    Pfimi-SH\OBELIX über RPC
        DSA-Objekt-GUID: 227a571e-6627-4d01-ac47-e459ffa4f0df
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.
    Pfimi-SH\ASTERIX über RPC
        DSA-Objekt-GUID: 6f6b2d00-ac02-4967-a095-b5bc4c7540f4
        Letzter Versuch am 2018-12-27 19:05:08 war erfolgreich.
DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105):
    Der Replikationszugriff wurde verweigert.
DsReplicaGetInfo() ist fehlgeschlagen mit Status 8453 (0x2105):
    Der Replikationszugriff wurde verweigert.

C:\Users\rosp>repadmin /replsummary
Startzeit der Replikationszusammenfassung: 2018-12-27 19:01:01

Datensammlung für Replikationszusammenfassung wird gestartet.
Dieser Vorgang kann einige Zeit dauern.
  ......


Quell-DSA          Größtes Delta    Fehler/gesamt %%  Fehler
 ASTERIX                   11m:03s    0 /  10    0
 IDEFIX                    14m:04s    0 /  10    0
 OBELIX                    14m:04s    0 /  10    0


Ziel-DSA           Größtes Delta    Fehler/gesamt %%  Fehler
 ASTERIX                   14m:05s    0 /  10    0
 IDEFIX                    10m:54s    0 /  10    0
 OBELIX                    11m:04s    0 /  10    0

C:\Users\rosp>DCDIAG /test:CheckSecurityError

Verzeichnisserverdiagnose

Anfangssetup wird ausgeführt:
   Der Homeserver wird gesucht...
   Homeserver = Idefix
   * Identifizierte AD-Gesamtstruktur.
   Sammeln der Ausgangsinformationen abgeschlossen.

Erforderliche Anfangstests werden ausgeführt.

   Server wird getestet: Pfimi-SH\IDEFIX
      Starting test: Connectivity
         ......................... IDEFIX hat den Test Connectivity bestanden.

Primärtests werden ausgeführt.

   Server wird getestet: Pfimi-SH\IDEFIX
      Starting test: CheckSecurityError
            [IDEFIX] Fehler bei DsReplicaGetInfo(KCC_DS_CONNECT_FAILURES): 8453,
            [IDEFIX] Die Liste mit den Verbindungsfehlern der Konsistenzprüfung kann nicht abgefragt werden. Der Vorgang wird fortgesetzt...
         [IDEFIX] Auf dem Domänencontroller wurden keine sicherheitsbedingten Replikationsfehler gefunden. Verwenden Sie den folgenden Befehl, um die Verbindung an einen bestimmten Quelldomänencontroller zu richten:
         /ReplSource:<Domänencontroller>.
         ......................... IDEFIX hat den Test CheckSecurityError bestanden.


   Partitionstests werden ausgeführt auf: ForestDnsZones

   Partitionstests werden ausgeführt auf: DomainDnsZones

   Partitionstests werden ausgeführt auf: Schema

   Partitionstests werden ausgeführt auf: Configuration

   Partitionstests werden ausgeführt auf: pfimi-sh

   Unternehmenstests werden ausgeführt auf: pfimi-sh.lan

Auf dem dritten DC haben wir dasselbe Problem, kann bei bedarf ebenfalls noch gepostet werden.

In der Ereignisanzeige auf dem Obelix bekomme ich immer wieder diesen Fehler:

Fehler beim DFS-Replikationsdienst bei der Kommunikation mit Partner "IDEFIX" für Replikationsgruppe "Domain System Volume". 
  
Partner-DNS-Adresse: Idefix.pfimi-sh.lan 
  
Optionale Daten, falls verfügbar: 
Partner-WINS-Adresse: Idefix 
Partner-IP-Adresse: 10.8.1.252 
  
Der Dienst versucht regelmäßig, die Verbindung erneut herzustellen. 
 
Weitere Informationen: 
Fehler: 1753 (In der Endpunktzuordnung sind keine weiteren Endpunkte verfügbar.) 
Verbindungs-ID: E294EC73-2497-4CBC-8D97-2B72DBC26886 
Replikationsgruppen-ID: 40C003D9-AADA-4FC5-9DFA-F4BDE3797544

Vielleicht kennt ja jemand diesen Fehler und kann mir weiterhelfen.

Grüsse Netgear24

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 396808

Url: https://administrator.de/contentid/396808

Ausgedruckt am: 19.11.2024 um 07:11 Uhr

2 Kommentare

Neuester Kommentar

Hallo,

prüfe mal, ob auf den DCs die SYSVOL Freigabe existiert.

prüfe, ob es Kerberos-Fehler (kdc) im Ereignisprotokoll gibt.

Grüße

lcer

Langsam rantasten. Wenn du einerseits schreibst 'DNS funktioniert' und andererseits' repliziert nicht': sind in den Eigenschaftern deiner DNS Zone denn die Seriennummern (SOA) bei allen DC gleich oder gibt es da Unterschiede? Primäre Server stehen dort korrekt drin und auch in den NIC Einstellungen aller DC (jeder sich selbst zuerst und die anderen beiden danach)? DNS Server Neustart nacheinandere auf den Maschinen bis die wieder synchron sind falls nicht?

Frage Microsoft Windows Server

Mehr von Netgear24

AD user mit Azure AD - O365 SynchroniesierenNetgear24 - 2 Kommentare

Cisco SIM Router Public IPNetgear24 - 9 Kommentare

Zwei Office 365 Kalender miteinander SynchronisierenNetgear24 - 4 Kommentare

BGP Setup mit EOIPNetgear24 - 7 Kommentare

Heiß diskutiert