Replikation schlägt fehl // 2. DC demoten/herabstufen schlägt fehl

Discussion:

(zu alt für eine Antwort)

Andreas Vogt

2010-03-02 12:16:35 UTC

Hallo,

folgendes Szenario:

1 DC (Win2003 Server) als Betriebsmaster Name: TS-SRV
1 DC (Win2003 Server) Name: TS-SRV2

Die Replikation zwischen beiden Servern schlug wohl schon viele Wochen fehl.
Tombstone Zeit ist also überschritten.

Ping auf DNS Name des anderen Servers tut, DNS Einträge sind OK.

Eine Replikation bekommen wir nicht wieder hin - wollen aber einen Win2008
als DC ins AD aufnehmen, was nicht geht, solange die Replikation der beiden
bestehenden nicht funzt.

Hier die Ergebnisse einiger Befehle:

1) repadmin /showreps: (ausgeführt auf Betriebsmaster)

Default-First-Site\TS-SRV
DC Options: IS_GC
Site Options: (none)
DC object GUID: f2227a73-19b1-4cf4-9963-4f2ef5de34f4
DC invocationID: f2227a73-19b1-4cf4-9963-4f2ef5de34f4

==== INBOUND NEIGHBORS ======================================

DC=KARLSRUHE,DC=Tech-Solute,DC=de
Default-First-Site\TS-SRV2 via RPC
DC object GUID: b06cbd03-e6a8-4a66-b31a-195022baa86f
Last attempt @ 2010-03-02 09:45:57 was successful.

CN=Configuration,DC=KARLSRUHE,DC=Tech-Solute,DC=de
Default-First-Site\TS-SRV2 via RPC
DC object GUID: b06cbd03-e6a8-4a66-b31a-195022baa86f
Last attempt @ 2010-03-02 09:45:57 was successful.
CN=Schema,CN=Configuration,DC=KARLSRUHE,DC=Tech-Solute,DC=de

Default-First-Site\TS-SRV2 via RPC
DC object GUID: b06cbd03-e6a8-4a66-b31a-195022baa86f
Last attempt @ 2010-03-02 09:45:57 was successful.

2) repadmin /showreps (ausgeführt auf 2. Server)

Default-First-Site\TS-SRV2

DC Options: (none)

Site Options: (none)
DC object GUID: b06cbd03-e6a8-4a66-b31a-195022baa86f
DC invocationID: 1d438155-62aa-4719-a00d-0a2a072fad2b

==== INBOUND NEIGHBORS ======================================

DC=KARLSRUHE,DC=Tech-Solute,DC=de
Default-First-Site\TS-SRV3 via RPC
DC object GUID: e1afbd9b-2787-4d72-ad2e-8cc17011ef63
Last attempt @ 2010-03-02 09:54:10 failed, result 8524 (0x214c):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht
fortgesetzt werden.
1022 consecutive failure(s).
Last success @ 2009-03-30 18:38:19.
Default-First-Site\TS-SRV via RPC
DC object GUID: f2227a73-19b1-4cf4-9963-4f2ef5de34f4
Last attempt @ 2010-03-02 10:50:45 failed, result -2146893022
(0x80090322):
Der Zielprinzipalname ist falsch.
2746 consecutive failure(s).
Last success @ 2009-05-08 12:19:03.

CN=Configuration,DC=KARLSRUHE,DC=Tech-Solute,DC=de
Default-First-Site\TS-SRV3 via RPC
DC object GUID: e1afbd9b-2787-4d72-ad2e-8cc17011ef63
Last attempt @ 2010-03-02 09:54:05 failed, result 8524 (0x214c):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht
fortgesetzt werden.
1022 consecutive failure(s).
Last success @ 2009-03-30 18:36:12.
Default-First-Site\TS-SRV via RPC
DC object GUID: f2227a73-19b1-4cf4-9963-4f2ef5de34f4
Last attempt @ 2010-03-02 10:24:52 failed, result -2146893022
(0x80090322):
Der Zielprinzipalname ist falsch.
249 consecutive failure(s).
Last success @ 2009-05-08 12:06:57.

CN=Schema,CN=Configuration,DC=KARLSRUHE,DC=Tech-Solute,DC=de
Default-First-Site\TS-SRV via RPC
DC object GUID: f2227a73-19b1-4cf4-9963-4f2ef5de34f4
Last attempt @ 2010-03-02 09:54:05 failed, result -2146893022
(0x80090322):
Der Zielprinzipalname ist falsch.
92 consecutive failure(s).
Last success @ 2009-05-08 11:56:46.
Default-First-Site\TS-SRV3 via RPC
DC object GUID: e1afbd9b-2787-4d72-ad2e-8cc17011ef63
Last attempt @ 2010-03-02 09:54:07 failed, result 8524 (0x214c):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht
fortgesetzt werden.
1286 consecutive failure(s).
Last success @ 2009-03-19 17:50:55.

Source: Default-First-Site\TS-SRV
******* 2738 CONSECUTIVE FAILURES since 2009-05-08 12:19:03
Last error: -2146893022 (0x80090322):
Der Zielprinzipalname ist falsch.

Source: Default-First-Site\TS-SRV3
******* 1286 CONSECUTIVE FAILURES since 2009-03-30 18:38:19
Last error: 8524 (0x214c):
Ein DSA-Vorgang kann aufgrund eines DNS-Aufruffehlers nicht
fortgesetzt werden.

3) Wir haben ein dcpromo auf TS-SRV2 ausgeführt, um den Server
herunterzustufen und später ggfs. wieder zum DC heraufzustufen - dabei kam
die Fehlermeldung, dass die Anmeldung fehl geschlagen ist, der Zielkontoname
sei ungültig.

Ein /foreceremoval haben wir bisher (noch) nicht ausführen wollen.

Jemand ne Idee?

Gruß

A.Vogt

Andreas Vogt

2010-03-02 12:54:03 UTC

Permalink

Folgendes noch im Ereignisprotokoll auf TS-SRV2:

Ereignistyp: Fehler
Ereignisquelle: Userenv
Ereigniskategorie: Keine
Ereigniskennung: 1053
Datum: 02.03.2010
Zeit: 13:45:05
Benutzer: NT-AUTORITÄT\SYSTEM
Computer: TS-SRV2
Beschreibung:
Der Benutzer oder der Computername kann nicht ermittelt werden. (Der
Zielprinzipalname ist falsch. ). Die Verarbeitung der Gruppenrichtlinie
wurde abgebrochen.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.

Ereignistyp: Fehler
Ereignisquelle: Kerberos
Ereigniskategorie: Keine
Ereigniskennung: 4
Datum: 26.02.2010
Zeit: 16:19:07
Benutzer: Nicht zutreffend
Computer: TS-SRV2
Beschreibung:
Der Kerberos-Client hat einen KRB_AP_ERR_MODIFIED-Fehler von Server
"host/ts-srv.karlsruhe.tech-solute.de" empfangen. Der verwendete Zielname
war LDAP/f2227a73-19b1-4cf4-9963-4f2ef5de34f4._msdcs.DOMAIN.DE. Dies deutet
darauf hin, dass das Kennwort, das zum Verschlüsseln des
Kerberos-Diensttickets verwendet wurde, anders als das Kennwort auf dem
Zielserver ist. Häufige Ursache hierfür sind identische Computerkontonamen
im Zielbereich (DOMAIN.DE) und dem Clientbereich. Wenden Sie sich an den
Systemadministrator.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.

Ereignistyp: Fehler
Ereignisquelle: NETLOGON
Ereigniskategorie: Keine
Ereigniskennung: 5722
Datum: 02.03.2010
Zeit: 10:40:21
Benutzer: Nicht zutreffend
Computer: TS-SRV2
Beschreibung:
Die Einrichtung einer Sitzung von Computer "TS19" ist an der
Authentifizierung gescheitert. Der/die Kontoname(n) in der
Sicherheitsdatenbank lauten TS19$. Folgender Fehler ist aufgetreten:
Zugriff verweigert

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter
http://go.microsoft.com/fwlink/events.asp.
Daten:
0000: 22 00 00 c0 "..À

Yusuf Dikmenoglu [MVP]

2010-03-02 13:46:37 UTC

Permalink

Servus,

Post by Andreas Vogt
1 DC (Win2003 Server) als Betriebsmaster Name: TS-SRV
1 DC (Win2003 Server) Name: TS-SRV2

die Namen beider DCs könnten darauf hinweisen, dass diese
auch als Terminal Server verwendet werden. Ist dem so?
Falls ja, ist das überhaupt keine gute Idee!

Post by Andreas Vogt
Die Replikation zwischen beiden Servern schlug wohl schon viele Wochen fehl.

Wo bleibt denn das Monitoring... In den Eventlogs ist ebenfalls
"Karneval in Rio".

Post by Andreas Vogt
Eine Replikation bekommen wir nicht wieder hin

Wäre aber möglich, was nicht gerade empfehlenswert ist.
Denn das wieder in Gang zu bringen, benötigt viel Geduld
und vor allem Know How. Stichwort: Lingering Objects.

[LDAP://Yusufs.Directory.Blog/ - Lingering Objects (veraltete Objekte)]
http://blog.dikmenoglu.de/Lingering+Objects+Veraltete+Objekte.aspx

Post by Andreas Vogt
3) Wir haben ein dcpromo auf TS-SRV2 ausgeführt, um den Server
herunterzustufen und später ggfs. wieder zum DC heraufzustufen - dabei kam die
Fehlermeldung, dass die Anmeldung fehl geschlagen ist, der Zielkontoname sei
ungültig.

Das funktioniert auch nicht mit einem normalen DCPROMO.
Wenn Replikationsprobleme bestehen und man einen DC herunterstufen
will, mussdas "mit Gewalt" durchgeführt werden. Du musst
DCPROMO /FORECEREMOVAL ausführen. Anschließend musst du dann
noch die Metadaten des AD bereinigen.

[LDAP://Yusufs.Directory.Blog/ - Das Active Directory gewaltsam vom DC
entfernen]
http://blog.dikmenoglu.de/Das+Active+Directory+Gewaltsam+Vom+DC+Entfernen.aspx

Post by Andreas Vogt
Jemand ne Idee?

Es ist einfacher und zielführender, wenn du den DC
mit Gewalt herunterstufst.

Gruß, Yusuf

========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
Twitter: http://twitter.com/YusufsDSBlog
========================================