[adde] AW: AW: AW: AW: AW: AW: AW: GPO Problem nach Ausfall eines DC
- From: "Patrick Frei" <frei@xxxxxxxxxxxx>
- To: <adde@xxxxxxxxxxxxx>
- Date: Tue, 28 Sep 2010 17:41:01 +0200
Hallo zusammen
Update zum Problem:
Die defekte Server-HW (Raid Controller) wurde inzwischen repariert und ich
konnte den DC ohne Neuinstallation wieder in Betrieb nehmen. Die
Synchronisation zwischen den beiden DC's klappt auch. Die 5 Computer welche
Probleme hatten bzw. sporadisch den nicht existierenden DC kontaktierten
scheinen auch wieder "zufrieden" zu sein.
Ich werde nun vermutlich diese 5 Computer neu installieren, damit bei einem
späteren Ausfall eines DC's nicht das gleiche Problem wieder auftritt.
Leider konnte ich die genau Ursache nicht feststellen.
Ich möchte allen nochmals danken für die Hilfe.
Mit freundlichen Grüssen
Patrick Frei <frei@xxxxxxxxxxxx> support: +41 44 633 2668
dipl. Informationstechniker HF voice: +41 44 633 6266
IT Services Group, HPT D 19
Department of Physics, ETH Zurich
CH-8093 Zurich, Switzerland http://nic.phys.ethz.ch/
-----Ursprüngliche Nachricht-----
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Andreas Michelfeit
Gesendet: Montag, 27. September 2010 16:19
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: AW: AW: AW: AW: AW: GPO Problem nach Ausfall eines DC
Hallo,
wenn das eine Windows 2008 Umgebung ist, dann ist es ausreichend einfach in
der MMC Users and Computers, das Computerkonto des DC's zu entfernen.
Siehe Seite 38 des Forest Recovery Whitepapers:
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=AFE436FA-8E8A-44
3A-9027-C522DEE35D85
Sonst bleibt nur wie von Andreas beschrieben ntdsutil.
Andreas
-----Ursprüngliche Nachricht-----
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Andreas.Koch@xxxxxx
Gesendet: Montag, 27. September 2010 15:57
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: AW: AW: AW: AW: GPO Problem nach Ausfall eines DC
Hallo Patrick,
>Gibt es da ein spezielles Vorgehen? Soll ich einfach den Server neu
installieren dann die Roles "Active Directory Domain Services" und "DNS"
>hinzufügen und diesen als neuen zusätzlichen DC wieder in die Domain
hinzufügen?
>Oder muss ich vorher im DNS noch srv und andere Records rauslöschen? Er
soll wieder den gleichen Hostnamen und IP Adresse bekommen.
Hier findest du die entsprechenden Informationen, was du tun musst, um einen
DC gewaltsam aus der Domäne zu entfernen.
http://www.faq-o-matic.net/2003/01/19/wie-kann-ich-active-directory-von-eine
m-dc-gewaltsam-entfernen/
http://support.microsoft.com/default.aspx?scid=kb;en-us;216498
Mit freundlichen Grüßen
Andreas Koch
Systemadministrator
Netze, Client-Server, Telekommunikation
Deutsche Amphibolin-Werke
von Robert Murjahn Stiftung & Co KG
Roßdörfer Str. 50
D-64372 Ober-Ramstadt
Tel.: +49-6154/71-1330
Fax: +49-6154/71-991330
eMail: andreas.koch@xxxxxx
Internet: http://www.caparol.de
____________________________________________________________________________
__________________________________________________
Deutsche Amphibolin-Werke von Robert Murjahn Stiftung & Co KG Roßdörfer
Straße 50, 64372 Ober-Ramstadt Amtsgericht Darmstadt HR A 5541 Persönlich
haftender Gesellschafter:
CAPAROL Stiftung
Roßdörfer Straße 50, 64372 Ober-Ramstadt Amtsgericht Darmstadt HR A 6927
Vorstand: Dr. Klaus Murjahn, Deutsche Amphibolin-Werke von Robert Murjahn
Verwaltungs-GmbH Deutsche Amphibolin-Werke von Robert Murjahn
Verwaltungs-GmbH Roßdörfer Straße 50, 64372 Ober-Ramstadt Amtsgericht
Darmstadt HR B 4000
Geschäftsführer: Dr. Ralf Murjahn (Vors.), Arie van Dieren, Christoph H.
Hentzen, Dr. Helmut Plum, Rainer Reucker
____________________________________________________________________________
___________________________________________________
-----Ursprüngliche Nachricht-----
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Patrick Frei
Gesendet: Montag, 27. September 2010 15:17
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: AW: AW: AW: GPO Problem nach Ausfall eines DC
Hallo Björn
>> Im DNS sind die srv Einträge korrekt drin?
Ja soweit ich dies beurteilen kann. Es sind dort immer beide DC eingetragen
der ad1 und ad2 wobei wie gesagt der ad2 nicht mehr läuft.
>> Sind die Computerkonten der Rechner irgendwie anders als die restlichen?
Nein sieht nicht so aus. Alle Rechner sind auch in der selben OU.
>> Sind diese Rechner evtl. in einer anderen Site?
Nein, wir haben nur eine Site die "Default-First-Site-Name".
Eine Zusatzfrage:
Vermutlich muss ich den defekten DC nach der Reparatur neu installieren da
das Filesystem vermutlich defekt ist (wegen einem HD Controller Fehler).
Gibt es da ein spezielles Vorgehen? Soll ich einfach den Server neu
installieren dann die Roles "Active Directory Domain Services" und "DNS"
hinzufügen und diesen als neuen zusätzlichen DC wieder in die Domain
hinzufügen?
Oder muss ich vorher im DNS noch srv und andere Records rauslöschen? Er soll
wieder den gleichen Hostnamen und IP Adresse bekommen.
MfG
Patrick Frei
-----Ursprüngliche Nachricht-----
Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von
Kolbe Björn
Gesendet: Montag, 27. September 2010 13:49
An: adde@xxxxxxxxxxxxx
Betreff: [adde] AW: AW: AW: GPO Problem nach Ausfall eines DC
Im DNS sind die srv Einträge korrekt drin? Sind die Computerkonten der
Rechner irgendwie anders als die restlichen? Sind diese Rechner evtl. in
einer anderen Site?
mit freundlichen Grüßen,
Björn Kolbe
--------------
Björn Kolbe
IT-Abteilung
Max-Planck-Institut für Geistiges Eigentum,
Wettbewerbs- und Steuerrecht
Marstallplatz 1
80539 München
Tel.: +49 89 24246 310
Fax: +49 89 24246 502
Mail: bjoern.kolbe@xxxxxxxxx
Web: http://www.ip.mpg.de
> -----Ursprüngliche Nachricht-----
> Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag
> von Patrick Frei
> Gesendet: Montag, 27. September 2010 10:05
> An: adde@xxxxxxxxxxxxx
> Betreff: [adde] AW: AW: GPO Problem nach Ausfall eines DC
>
> Hallo Björn
>
> Das Sysvol ist nur von diesen 5 Clients aus nicht erreichbar und daher
können
> auch keine anderen GPO gelesen werden.
> Die restlichen 85 Clients können problemlos mit dem verbleibenden DC
> kommunizieren.
>
> Einer der Problemcomputer habe ich mal aus der Domain und neu
> gejoined, dann hat das GPO lesen wieder funktioniert nach etwa einem
> halben Tag wieder nicht mehr.
> Gpudate bringt dann die selben Fehler die ich unten schon aus dem
> Eventlog gepostet habe.
>
>
> Gruss
> Patrick Frei
>
>
> -----Ursprüngliche Nachricht-----
> Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag
> von Kolbe Björn
> Gesendet: Montag, 27. September 2010 09:31
> An: adde@xxxxxxxxxxxxx
> Betreff: [adde] AW: GPO Problem nach Ausfall eines DC
>
> Guten Morgen,
>
> was sagen denn die Logs auf dem verbliebenen DC? Ist sysvol
> grundsätzlich verfügbar? Kann nur diese eine GPO nicht angewendet
> werden oder auch andere?
>
>
> mit freundlichen Grüßen,
>
> Björn Kolbe
>
> --------------
> Björn Kolbe
> IT-Abteilung
>
>
> Max-Planck-Institut für Geistiges Eigentum,
> Wettbewerbs- und Steuerrecht
> Marstallplatz 1
>
> 80539 München
>
>
> Tel.: +49 89 24246 310
> Fax: +49 89 24246 502
> Mail: bjoern.kolbe@xxxxxxxxx
> Web: http://www.ip.mpg.de
>
>
>
> > -----Ursprüngliche Nachricht-----
> > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag
> > von Patrick Frei
> > Gesendet: Montag, 27. September 2010 09:25
> > An: adde@xxxxxxxxxxxxx
> > Betreff: [adde] GPO Problem nach Ausfall eines DC
> >
> > Hallo zusammen
> >
> > Unser Setup sieht folgendermassen aus:
> >
> > - 2 DC (ad1 & ad2) welche am gleichen (einzigen Standort) vorhanden
sind.
> > Installiert mit Server 2008 32 bit.
> > - Auf beiden läuft ein DNS Server welche bei den Clients als
> > Primary und Secondary DNS Server eingetragen sind.
> > - etwa 90 Stk. Windows 7 Clients
> >
> > Nun ist einer der DC (ad2) wegen einem HW Defekt ausgefallen. Von
> > diesen
> > 90 Clients haben seither etwa 5 Stk. Probleme bekommen.
> > Sie können keine GPO mehr lesen und somit z.B. auch kein Logon
> > Script mehr.
> > Die Fehlermeldung im Event log der Clients sieht so aus:
> > -----------------------------------
> > Sys: E 'Mon Sep 27 08:58:25 2010': Microsoft-Windows-GroupPolicy
> > 1058 -
"
> > Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die
> > Datei
> > "\\xy.meineDomain.ch\sysvol\xy.meineDomain.ch\Policies\{31B2F340-
> 016D-
> > 11D2-9
> > 45F-00C04FB984F9}\gpt.ini"
> > von einem Domänencontroller zu lesen, war nicht erfolgreich. Die
> > Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis
> > dieses Ereignis behoben ist. Dies ist möglicherweise ein
> > vorübergehendes Problem, das mindestens eine der folgenden Ursachen
> haben kann:
> > a) Namensauflösung/Netzwerkverbindung
> > mit dem aktuellen Domänencontroller.
> > b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen
> > Domänencontroller erstellte Datei hat nicht auf dem aktuellen
> > Domänencontroller repliziert).
> > c) Der
> > DFS-Client (Distributed File System) wurde deaktiviert."
> > -----------------------------------
> >
> > Es sieht so aus, dass die Clients versuchen den DC zu kontaktieren
> > der
> nicht
> > mehr online ist. Aber warum ist dies so?
> > Nach meinem Verständnis sollte doch automatisch derjenige DC
> verwenden
> > werden welche auch verfügbar ist, in meinem Fall den ad1.
> > Namesauflösungsprobleme scheinen es nicht zu sein, da ich von den
> > betroffen Clients aus den ad1 anpingen sowie nslookupen kann.
> > Der Zugriff auf
> > "\\xy.meineDomain.ch\sysvol\xy.meineDomain.ch\Policies\{31B2F340-
> 016D-
> > 11D2-9
> > 45F-00C04FB984F9}\gpt.ini" ist jedoch nicht möglich.
> >
> > Kann mir jemand weiterhelfen was hier falsch läuft bzw. ich tun
> > muss,
> damit
> > zukünftig diese 5 Clients den funktionsfähigen DC kontaktieren bis
> > ich den defekten DC wieder Online habe?
> >
> > Vielen Dank im Voraus für die Hilfe.
> >
> >
> > Mit freundlichen Grüssen
> >
> > Patrick Frei <frei@xxxxxxxxxxxx> support: +41 44 633 2668
> > dipl. Informationstechniker HF voice: +41 44 633 6266
> > IT Services Group, HPT D 19
> > Department of Physics, ETH Zurich
> > CH-8093 Zurich, Switzerland http://nic.phys.ethz.ch/
> >
> >
>
>
>
Other related posts:
