Patrick, wenn du immernoch Interesse an der Lösung des Problems hast: mir hat in solchen Fällen schon oft ein simples Trace auf Netzwerkebene geholfen. So lässt sich nachvollziehen, welche DNS-Anfragen ein Client stellt und welche Antworten er per DNS bekommt -- auch hinsichtlich der zeitlichen Abfolge. Klar, so ein Trace zu lesen braucht Zeit - aber ist ungemein lehrreich ;-) Cheers, Florian > -----Original Message----- > From: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] On Behalf Of > Patrick Frei > Sent: Dienstag, 28. September 2010 17:41 > To: adde@xxxxxxxxxxxxx > Subject: [adde] AW: AW: AW: AW: AW: AW: AW: GPO Problem nach Ausfall > eines DC > > Hallo zusammen > > Update zum Problem: > Die defekte Server-HW (Raid Controller) wurde inzwischen repariert und ich > konnte den DC ohne Neuinstallation wieder in Betrieb nehmen. Die > Synchronisation zwischen den beiden DC's klappt auch. Die 5 Computer > welche Probleme hatten bzw. sporadisch den nicht existierenden DC > kontaktierten scheinen auch wieder "zufrieden" zu sein. > > Ich werde nun vermutlich diese 5 Computer neu installieren, damit bei einem > späteren Ausfall eines DC's nicht das gleiche Problem wieder auftritt. > Leider konnte ich die genau Ursache nicht feststellen. > > Ich möchte allen nochmals danken für die Hilfe. > > > Mit freundlichen Grüssen > > Patrick Frei <frei@xxxxxxxxxxxx> support: +41 44 633 2668 > dipl. Informationstechniker HF voice: +41 44 633 6266 > IT Services Group, HPT D 19 > Department of Physics, ETH Zurich > CH-8093 Zurich, Switzerland http://nic.phys.ethz.ch/ > > > > > -----Ursprüngliche Nachricht----- > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von > Andreas Michelfeit > Gesendet: Montag, 27. September 2010 16:19 > An: adde@xxxxxxxxxxxxx > Betreff: [adde] AW: AW: AW: AW: AW: AW: GPO Problem nach Ausfall eines > DC > > Hallo, > wenn das eine Windows 2008 Umgebung ist, dann ist es ausreichend einfach > in der MMC Users and Computers, das Computerkonto des DC's zu > entfernen. > Siehe Seite 38 des Forest Recovery Whitepapers: > http://www.microsoft.com/downloads/en/details.aspx?FamilyID=AFE436FA > -8E8A-44 > 3A-9027-C522DEE35D85 > > > Sonst bleibt nur wie von Andreas beschrieben ntdsutil. > > Andreas > > -----Ursprüngliche Nachricht----- > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von > Andreas.Koch@xxxxxx > Gesendet: Montag, 27. September 2010 15:57 > An: adde@xxxxxxxxxxxxx > Betreff: [adde] AW: AW: AW: AW: AW: GPO Problem nach Ausfall eines DC > > Hallo Patrick, > > >Gibt es da ein spezielles Vorgehen? Soll ich einfach den Server neu > installieren dann die Roles "Active Directory Domain Services" und "DNS" > >hinzufügen und diesen als neuen zusätzlichen DC wieder in die Domain > hinzufügen? > > >Oder muss ich vorher im DNS noch srv und andere Records rauslöschen? Er > soll wieder den gleichen Hostnamen und IP Adresse bekommen. > > Hier findest du die entsprechenden Informationen, was du tun musst, um > einen DC gewaltsam aus der Domäne zu entfernen. > > http://www.faq-o-matic.net/2003/01/19/wie-kann-ich-active-directory-von- > eine > m-dc-gewaltsam-entfernen/ > > http://support.microsoft.com/default.aspx?scid=kb;en-us;216498 > > > > Mit freundlichen Grüßen > > Andreas Koch > > Systemadministrator > Netze, Client-Server, Telekommunikation > Deutsche Amphibolin-Werke > von Robert Murjahn Stiftung & Co KG > Roßdörfer Str. 50 > D-64372 Ober-Ramstadt > Tel.: +49-6154/71-1330 > Fax: +49-6154/71-991330 > eMail: andreas.koch@xxxxxx > Internet: http://www.caparol.de > > > > __________________________________________________________ > __________________ > __________________________________________________ > > Deutsche Amphibolin-Werke von Robert Murjahn Stiftung & Co KG > Roßdörfer Straße 50, 64372 Ober-Ramstadt Amtsgericht Darmstadt HR A 5541 > Persönlich haftender Gesellschafter: > CAPAROL Stiftung > Roßdörfer Straße 50, 64372 Ober-Ramstadt Amtsgericht Darmstadt HR A 6927 > Vorstand: Dr. Klaus Murjahn, Deutsche Amphibolin-Werke von Robert > Murjahn Verwaltungs-GmbH Deutsche Amphibolin-Werke von Robert > Murjahn Verwaltungs-GmbH Roßdörfer Straße 50, 64372 Ober-Ramstadt > Amtsgericht Darmstadt HR B 4000 > Geschäftsführer: Dr. Ralf Murjahn (Vors.), Arie van Dieren, Christoph H. > Hentzen, Dr. Helmut Plum, Rainer Reucker > __________________________________________________________ > __________________ > ___________________________________________________ > > > -----Ursprüngliche Nachricht----- > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von > Patrick Frei > Gesendet: Montag, 27. September 2010 15:17 > An: adde@xxxxxxxxxxxxx > Betreff: [adde] AW: AW: AW: AW: GPO Problem nach Ausfall eines DC > > Hallo Björn > > >> Im DNS sind die srv Einträge korrekt drin? > Ja soweit ich dies beurteilen kann. Es sind dort immer beide DC eingetragen > der ad1 und ad2 wobei wie gesagt der ad2 nicht mehr läuft. > > >> Sind die Computerkonten der Rechner irgendwie anders als die > restlichen? > Nein sieht nicht so aus. Alle Rechner sind auch in der selben OU. > > >> Sind diese Rechner evtl. in einer anderen Site? > Nein, wir haben nur eine Site die "Default-First-Site-Name". > > > Eine Zusatzfrage: > Vermutlich muss ich den defekten DC nach der Reparatur neu installieren da > das Filesystem vermutlich defekt ist (wegen einem HD Controller Fehler). > > Gibt es da ein spezielles Vorgehen? Soll ich einfach den Server neu > installieren dann die Roles "Active Directory Domain Services" und "DNS" > hinzufügen und diesen als neuen zusätzlichen DC wieder in die Domain > hinzufügen? > > Oder muss ich vorher im DNS noch srv und andere Records rauslöschen? Er > soll wieder den gleichen Hostnamen und IP Adresse bekommen. > > MfG > Patrick Frei > > > -----Ursprüngliche Nachricht----- > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag von > Kolbe Björn > Gesendet: Montag, 27. September 2010 13:49 > An: adde@xxxxxxxxxxxxx > Betreff: [adde] AW: AW: AW: GPO Problem nach Ausfall eines DC > > Im DNS sind die srv Einträge korrekt drin? Sind die Computerkonten der > Rechner irgendwie anders als die restlichen? Sind diese Rechner evtl. in einer > anderen Site? > > mit freundlichen Grüßen, > > Björn Kolbe > > -------------- > Björn Kolbe > IT-Abteilung > > > Max-Planck-Institut für Geistiges Eigentum, > Wettbewerbs- und Steuerrecht > Marstallplatz 1 > > 80539 München > > > Tel.: +49 89 24246 310 > Fax: +49 89 24246 502 > Mail: bjoern.kolbe@xxxxxxxxx > Web: http://www.ip.mpg.de > > > > > -----Ursprüngliche Nachricht----- > > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag > > von Patrick Frei > > Gesendet: Montag, 27. September 2010 10:05 > > An: adde@xxxxxxxxxxxxx > > Betreff: [adde] AW: AW: GPO Problem nach Ausfall eines DC > > > > Hallo Björn > > > > Das Sysvol ist nur von diesen 5 Clients aus nicht erreichbar und daher > können > > auch keine anderen GPO gelesen werden. > > Die restlichen 85 Clients können problemlos mit dem verbleibenden DC > > kommunizieren. > > > > Einer der Problemcomputer habe ich mal aus der Domain und neu > > gejoined, dann hat das GPO lesen wieder funktioniert nach etwa einem > > halben Tag wieder nicht mehr. > > Gpudate bringt dann die selben Fehler die ich unten schon aus dem > > Eventlog gepostet habe. > > > > > > Gruss > > Patrick Frei > > > > > > -----Ursprüngliche Nachricht----- > > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag > > von Kolbe Björn > > Gesendet: Montag, 27. September 2010 09:31 > > An: adde@xxxxxxxxxxxxx > > Betreff: [adde] AW: GPO Problem nach Ausfall eines DC > > > > Guten Morgen, > > > > was sagen denn die Logs auf dem verbliebenen DC? Ist sysvol > > grundsätzlich verfügbar? Kann nur diese eine GPO nicht angewendet > > werden oder auch andere? > > > > > > mit freundlichen Grüßen, > > > > Björn Kolbe > > > > -------------- > > Björn Kolbe > > IT-Abteilung > > > > > > Max-Planck-Institut für Geistiges Eigentum, > > Wettbewerbs- und Steuerrecht > > Marstallplatz 1 > > > > 80539 München > > > > > > Tel.: +49 89 24246 310 > > Fax: +49 89 24246 502 > > Mail: bjoern.kolbe@xxxxxxxxx > > Web: http://www.ip.mpg.de > > > > > > > > > -----Ursprüngliche Nachricht----- > > > Von: adde-ml@xxxxxxxxxxxxx [mailto:adde-ml@xxxxxxxxxxxxx] Im Auftrag > > > von Patrick Frei > > > Gesendet: Montag, 27. September 2010 09:25 > > > An: adde@xxxxxxxxxxxxx > > > Betreff: [adde] GPO Problem nach Ausfall eines DC > > > > > > Hallo zusammen > > > > > > Unser Setup sieht folgendermassen aus: > > > > > > - 2 DC (ad1 & ad2) welche am gleichen (einzigen Standort) vorhanden > sind. > > > Installiert mit Server 2008 32 bit. > > > - Auf beiden läuft ein DNS Server welche bei den Clients als > > > Primary und Secondary DNS Server eingetragen sind. > > > - etwa 90 Stk. Windows 7 Clients > > > > > > Nun ist einer der DC (ad2) wegen einem HW Defekt ausgefallen. Von > > > diesen > > > 90 Clients haben seither etwa 5 Stk. Probleme bekommen. > > > Sie können keine GPO mehr lesen und somit z.B. auch kein Logon > > > Script mehr. > > > Die Fehlermeldung im Event log der Clients sieht so aus: > > > ----------------------------------- > > > Sys: E 'Mon Sep 27 08:58:25 2010': Microsoft-Windows-GroupPolicy > > > 1058 - > " > > > Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die > > > Datei > > > "\\xy.meineDomain.ch\sysvol\xy.meineDomain.ch\Policies\{31B2F340- > > 016D- > > > 11D2-9 > > > 45F-00C04FB984F9}\gpt.ini" > > > von einem Domänencontroller zu lesen, war nicht erfolgreich. Die > > > Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis > > > dieses Ereignis behoben ist. Dies ist möglicherweise ein > > > vorübergehendes Problem, das mindestens eine der folgenden > Ursachen > > haben kann: > > > a) Namensauflösung/Netzwerkverbindung > > > mit dem aktuellen Domänencontroller. > > > b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen > > > Domänencontroller erstellte Datei hat nicht auf dem aktuellen > > > Domänencontroller repliziert). > > > c) Der > > > DFS-Client (Distributed File System) wurde deaktiviert." > > > ----------------------------------- > > > > > > Es sieht so aus, dass die Clients versuchen den DC zu kontaktieren > > > der > > nicht > > > mehr online ist. Aber warum ist dies so? > > > Nach meinem Verständnis sollte doch automatisch derjenige DC > > verwenden > > > werden welche auch verfügbar ist, in meinem Fall den ad1. > > > Namesauflösungsprobleme scheinen es nicht zu sein, da ich von den > > > betroffen Clients aus den ad1 anpingen sowie nslookupen kann. > > > Der Zugriff auf > > > "\\xy.meineDomain.ch\sysvol\xy.meineDomain.ch\Policies\{31B2F340- > > 016D- > > > 11D2-9 > > > 45F-00C04FB984F9}\gpt.ini" ist jedoch nicht möglich. > > > > > > Kann mir jemand weiterhelfen was hier falsch läuft bzw. ich tun > > > muss, > > damit > > > zukünftig diese 5 Clients den funktionsfähigen DC kontaktieren bis > > > ich den defekten DC wieder Online habe? > > > > > > Vielen Dank im Voraus für die Hilfe. > > > > > > > > > Mit freundlichen Grüssen > > > > > > Patrick Frei <frei@xxxxxxxxxxxx> support: +41 44 633 2668 > > > dipl. Informationstechniker HF voice: +41 44 633 6266 > > > IT Services Group, HPT D 19 > > > Department of Physics, ETH Zurich > > > CH-8093 Zurich, Switzerland http://nic.phys.ethz.ch/ > > > > > > > > > > > > > > > > > > > >